Tankeledare

Kontinuerlig övervakning: Fyller sÀkerhetshÄl i leverantörsriskhantering

mm
Published
Updated

Supplykedjor är limmet som håller den globala ekonomin samman. De är också en betydande källa till cyberrelaterad affärsrisk. Angrepp på leverantörer ökade med 431% mellan 2021 och 2024, och de förväntas att fortsätta öka. Det är dåliga nyheter för företagen som gör affärer med dem. IBM uppskattar att tredjepartsleverantörsöverträdelser är kopplade till bland de högsta dataläckekostnaderna av någon incidenttyp: 4,9 miljoner dollar per läckage.

Utmaningen för risk- och cybersäkerhetsledare är att befintliga riskhanteringsmekanismer är ofullständiga. De kan vara långsamma, resurskrävande och fulla av blind fläckar. Sann leverantörsriskhantering kommer från kontinuerlig tillsyn och kontroll.

Den obestridliga tillväxten av supplykedjor

Komplexa, fragmenterade supplykedjor är priset vi betalar för global handel. Under det senaste decenniet eller mer har de vuxit för att stödja konsumenternas krav på mer val och lägre kostnader, driven av en explosion i online-shoppning. Samtidigt har digitala supplykedjor också genomgått en enorm tillväxt, tack vare spridningen av programvara som en tjänst (SaaS), hanterade tjänsteleverantörer (MSP) och företagens krav på mer innovativa, effektiva sätt att arbeta.

Resultatet? Otydlighet där det borde finnas insikt, och ökande nivåer av affärsrisk som kunde hota vinster och hårt vunna kundlojaliteter. Enligt en uppskattning har till och med den genomsnittliga SMB 800 leverantörer. När leverantörer till leverantörer räknas, siffrorna snart når tusentals företag.

En riskfylld verksamhet

Detta är dåliga nyheter för CISO:er och deras team, som måste hitta ett sätt att hantera de oundvikliga cybersäkerhetsriskerna som kommer från omfattande supplykedjor. Leverantörs- och supplykedjekompromiss utgjorde 15% av dataläckorna förra året, enligt IBM. Verizon hävdar att siffran faktiskt har dubblats under det senaste året till 30%. Oavsett den faktiska siffran är det tydligt från verkliga incidenter den typ av skada de kan orsaka.

Tredjepartsleverantörer som outsourcingföretag och professionella tjänsteföretag kan lagra högt känsliga åtkomstuppgifter och annan data som tillhör deras kundföretag. Det kan vara högt reglerad personlig identifierbar information (PII) om kunder och anställda. Eller IP, affärshemligheter eller icke-offentlig finansiell data. Allt detta är en stor dragning för digitala utpressare, som kan stjäla och/eller kryptera det för att tvinga betalning. Tredjepartsbrott utgjorde över två femtedelar (41)% av ransomware-attacker 2024, enligt en studie.

Så länge leverantörerna ökar, ökar också risken för företagsbedrägeri, såsom via business email compromise (BEC). Hotaktörer kan skicka en phishing-e-post till en medlem av finans-teamet, eller till och med en senior chef, och begära betalning för en icke-existerande faktura. De gör sina attacker mer säkra genom att hacka kund/leverantörs e-postkonton, så att de kan övervaka kommunikationen och förstå vad fakturorna ser ut som. BEC-förluster rapporterade till FBI nådde nästan 2,8 miljarder dollar förra året, vilket gör det till den näst högsta inkomstbringande cyberbrottsligheten.

Sedan finns det leverantörer till leverantörer. En 2023-rapport hävdar att hälften av de undersökta organisationerna hade indirekta relationer med minst 200 fjärde parter som drabbats av brott under de senaste två åren. Ju mindre leverantören är, desto färre resurser kan de ha att spendera på bästa praxis för cybersäkerhet.

AI är en gåva till hackare

AI-teknik används allt mer av cyberkriminella för att förbättra sina framgångssiffror. I själva verket varnade brittiska regeringsexperter i år för att tekniken “sannolikt kommer att fortsätta göra vissa delar av cyberintrångsoperationer mer effektiva och effektiva”.

Vi kan se detta i den generativa AI som möjliggör skapandet av phishing-kampanjer på naturliga, fläckfria lokala språk. I det sätt den kan hjälpa hotaktörer att undersöka systemsvagheter och välja ut sina mål. Och i det sätt den kanske till och med kan hjälpa till att skapa malware och exploater. Det är därför AI kommer att leda till “en ökning av frekvens och intensitet av cyberhot” under de närmaste två åren, varnar rapporten.

Beroende på typen och omfattningen av säkerhetsincidenten, varierar påverkan för kunder av en utsatt leverantör från finansiell och ryktesmässig skada till regulatorisk risk och operativ störning. Ju längre en incident förblir ouppdagad, desto mer tid har hotaktörer att verka i nätverket och, slutligen, desto mer kommer det att kosta att sanera och återhämta sig från. Tyvärr tar supplykedjekompromisser längst tid att lösa, enligt IBM.

Ett exempel är den nyliga avslöjandet av ett stort ransomware-brott hos den multimiljonomsättande BPO-leverantören Conduent. Över 11 miljoner amerikaner kan ha haft sina socialförsäkringsnummer, sjukförsäkringsuppgifter och medicinska uppgifter exponerade, enligt rapporter. Och även om de bara blev meddelade i november 2025, trodde man att företagets miljö hade varit utsatt så långt tillbaka som oktober 2024.

Varför kontinuerlig övervakning är viktig

Lyckligtvis kan AI också hjälpa de “goda” att övervinna vanliga utmaningar med leverantörs-cybersäkerhetsriskhantering. Alltför många organisationer kämpar med långsamma, manuella processer och långa enkätfrågor som orsakar förseningar och skapar synliga blindfläckar. Ojämn leverantördokumentation gör det svårt att jämföra riskscore över hela ekosystemet och förstå vad som är viktigast för företaget.

Istället, med en data- och AI-centrerad ansats, kan organisationer få automation att göra det tunga arbetet, både vid ombordstigning och därefter. Det senare är viktigt eftersom risken inte upphör när en leverantör har godkänts. Den fortsätter att utvecklas, potentiellt på en timme eller daglig basis, med varje ny programvarusvaghet, dataintrång eller felkonfigurerat konto. Leverantörer kan investera i ny infrastruktur, vilket ökar deras cyber-angreppsyta. De kan lägga till nya leverantörer, vilket ändrar riskexponeringen. Och de kan bli måltavlor för nya hotaktörs-kampanjer.

Allt detta kräver en mer proaktiv ansats för tredjepartsriskhantering, som går utöver att samla in och bearbeta leverantörsenkätfrågor och dokumentation. Den bör fokusera på att identifiera risk i realtid, så att organisationen kan vidta åtgärder snabbt innan någon skada orsakas.

Att komma igång med AI

Att uppnå denna typ av 360-graders, kontinuerlig insikt i leverantörs-cybersäkerhetsrisk kommer att kräva mycket data – och intelligenta algoritmer för att flagga misstänkta mönster. Ju mer högkvalitativ data, desto bättre synlighet. Detta kan inkludera hotintelligensflöden som söker efter tidiga varningstecken för ett brott på dark web-forum. Eller sårbarhetsövervakning som belyser saknade säkerhetsuppdateringar i leverantörsfastigheter. Det kan också spåra bevis för e-post-kompromiss bland leverantörsfinansavdelningar, vilket kan indikera inkommande BEC-attacker. Eller till och med misstänkta transaktionsmönster som involverar dessa leverantörer.

AI kan utnyttjas för att identifiera kritiska risker i realtid, för att vidta omedelbara åtgärder. Och för att automatiskt tilldela en kontinuerligt uppdaterad riskscore för varje leverantör, viktad enligt kundpolicy, posture och kritikalitet för företaget.

Agentic AI kan också vara en kraftfull allierad, som arbetar autonomt för att ingå och analysera komplex leverantördokumentation som SOC 2-rapporter och interna säkerhetspolicys, och kartlägga kontroller till etablerade ramverk som NIST CSF eller ISO 27001. Detta kan ge efterlevnadssynlighet på bara några minuter, snarare än timmar, och frigöra tid för säkerhets- och riskteam att arbeta med högvärdesuppgifter. I mogna organisationer kan AI-agenter också arbeta oberoende för att lösa och avhjälpa rutinmässiga problem – eller åtminstone för att dirigera dem till rätt teammedlem för snabb uppmärksamhet.

Att sammanföra allt

Nyckeln är att se till att ett sådant system för leverantörs-cybersäkerhetsriskhantering är enhetligt, så att riskdata inte hamnar i silos och blir oanvändbar. Idealiskt sett skulle samma plattform möjliggöra annan typ av leverantörsriskhantering, över områden som efterlevnad, hållbarhet, finans och verksamhet. Det borde ge den typ av information som kan ligga till grund för bättre affärsbeslut.

Above all, kom ihåg att cyberrisk är i grunden affärsrisk. Den kan aldrig elimineras. Men den kan hanteras mer effektivt.

mm

Som Chief Information Officer ansvarar Vishal Grover för att etablera och upprÀtthÄlla ett företagsomfattande informations sÀkerhets- och riskhanteringsprogram för att sÀkerstÀlla att data tillgÄngar för apexanalytix och vÄra kunder skyddas.

Vishal har över 20 Ärs erfarenhet av informationsteknologi och har haft mÄnga roller inom flera discipliner som till exempel applikationsutveckling, databashantering, IT-infrastruktur och informations sÀkerhet. Hans omfattande bakgrund inkluderar implementering av program för utvecklande sÀkerhets- och regelefterlevnads krav (SSAE18, PCI, sÀker SDLC, GDPR, katastrofÄterstÀllning) för att sÀkerstÀlla den högsta nivÄn av sÀkerhet, prestanda och tillgÀnglighet för vÀrldens största företag.

Vishal tog examen frÄn Delhi University med en examen i handel. Han har ocksÄ en avancerad IT-diplom frÄn NIIT tillsammans med SUN-certifiering.