Cybersäkerhet vid upphandling: Så skyddar du din leveranskedja

Cyberattacker dyker upp överallt och inköpsindustrin är inte ett undantag.

I ENISA:s (Europeiska byrån för cybersäkerhet) rapport avslöjas det att 39% (WEF, 2022) och 62% (Anchore, 2022) av de undersökta organisationerna påverkades av ett tredjeparts-cyberangrepp. Dessutom indikerar rapporten att cyberhot inom leveranskedjeindustrin stod för 17% av alla cyberattacker år 2021 (Mandiant, 2022). ENISA:s egna studier visar också att i 66% av de analyserade leveranskedjeattackerna visste leverantörerna inte, eller var inte transparenta om, hur de komprometterades. I 62% av dessa fall var skadlig programvara den attackteknik som användes.

Siffrorna är oroande, men inte helt oväntade. Idag förlitar sig allt fler företag på digitala leveranskedjor och e-inköpssystem. För att programmen ska fungera krävs ett utbyte av data, den typ av data som cyberangripare ofta har som mål, inklusive kontaktinformation till ditt företag och dina kunder/leverantörer, kontraktinformation och kreditkorts- eller annan finansiell information.

2023 bör uppbyggnaden av cybersäkerhet mot dess attacker vara bland dina högsta prioriteringar, och i denna artikel kommer vi att guida dig genom de vanligaste typerna av cyberhot och hur du implementerar cybersäkerhet i dina inköpsprocesser.

Här är ämnena vi kommer att täcka:

1. Vad är cyberhot och var kommer de ifrån?
2. Vanligaste kanalerna för cyberhot inom inköp
3. 7 nyckelsteg för att säkerställa cybersäkerhet vid inköp

Vad är cyberhot och var kommer de ifrån?

Kommer du ihåg dagarna när ekonomin sköttes med penna och papper och det största stöldhotet var ett fysiskt inbrott?

Dessa tider är snart ett minne blott. Att istället förstå uppkomsten och komplexiteten hos cyberhot har nu blivit ett universellt måste för att säkerställa rätt nivå av cybersäkerhet vid upphandling.

Så, vad kan definieras som ett cyberhot?

I grund och botten är ett cyberhot en skadlig handling som syftar till att skada data, stjäla data eller störa det digitala upplägget generellt. Från personliga databrott till stora störningar av företagsoperationer kan dessa hot vara katastrofala i den digitala åldern.

Intressant nog kan cyberhot komma både externt och internt. Externa cyberhot är ofta de vi hör mest om – hackare, organiserade brottsgrupper, listan fortsätter. Dessa angripare tenderar att utnyttja sårbarheter i mjukvaran, skicka skadliga e-postmeddelanden eller lansera omfattande attacker på infrastruktur. Å andra sidan kan interna hot komma från anställda, oavsiktligt dataläckage eller till och med bara oaktsam användning av företagets digitala resurser. Det är värt att notera att även om externa hot ofta får mer uppmärksamhet kan interna hot vara lika skadliga.

När vi går djupare in på typerna av hot finner vi:

• Nätfisk-attacker: Ofta utger sig angripare för att vara pålitliga personer/organisationer och lurar individer att ge bort känslig information. En ovetande inköpschef kan exempelvis övertalas att dela betalningsuppgifter i tron att de kommunicerar med en betrodd leverantör.
  

• Malware och Ransomware: Skadlig programvara utformad för att få obehörig åtkomst eller skada ett system. Tänk dig en tillverkare som av misstag laddar ner ett ransomware (gisslanprogram) från en leverantörs infekterade faktura. Detta understryker varför förbättring av cybersäkerhet vid inköp är viktigt.
  

• Man in the Middle-attacker: Dessa inträffar när angripare i hemlighet förmedlar eller ändrar kommunikationen mellan två parter. Tänk dig en återförsäljare som placerar en order hos en betrodd leverantör. En angripare avlyssnar denna kommunikation i hemlighet och ändrar bankkontouppgifterna för betalning. Återförsäljaren, som tror att de betalar sin leverantör, skickar av misstag pengar direkt till angriparens konto.
  

• Denial of Service-attacker: Riktar sig mot system, servrar eller nätverk, dessa attacker överbelastar sitt mål med trafik, vilket orsakar en avstängning.

Att identifiera de olika ursprungen och formerna av cyberhot är det första steget i att förstå de faror din cybersäkerhet bör vara förberedd på. Härefter kommer vi att utforska vilka som är de vanligaste kanalerna för cyberhot inom inköp.

Vanligaste kanalerna för cyberhot inom inköp

Medan digital omvandling medför effektivitet så gör den oss även sårbara för en mängd cyberhot.

Här är de vanligaste kanalerna som är mottagliga för cyberattacker inom inköp:

• Molnsäkerhet: När fler organisationer migrerar mot molnbaserad databehandling utmanas de samtidigt av potentiella säkerhetsbrott. Föreställ dig en inköpsavdelning för ett större tillverkningsföretag som delar specifikationer med leverantörer via en molnplattform. Ett enda konfigurationsfel och känsliga ritningar kan hamna i fel händer.
  

• Sociala medier: Tänk dig en leverantör som kommunicerar över en populär social plattform, men som sedan blir offer för ett dolt cyberangrepp som lanserades genom samma plattform. Dataintrång utnyttjar ofta sådana sociala sårbarheter, vilket bevisar att även de mest betrodda hemsidorna inte alltid är säkra.
  

• Nätfiske: Attacker som nätfiske inom inköp har blivit oerhört sofistikerade. Tänk dig en inköpschef som får ett perfekt tajmat, felfritt kopierat e-postmeddelande som begär betalningsuppgifter för en sändning, bara för att upptäcka att det var ett falskt e-postmeddelande som försökte stjäla pengar.
  

• PDF:er: I vår tid kan till och med en till synes oskyldig PDF-faktura vara en trojansk häst, som kringgår de varningstecken som ofta ses i misstänkta e-postmeddelanden. När en inköpschef får en PDF från en förmodad betrodd leverantör kan de ovetande utlösa en skadlig programvara bara genom att öppna den.
  

• Databaser: Föreställ dig en centraliserad inköpsdatabas, laddad med leverantörspriser, kontrakt och transaktionshistorik. Ett enda intrång kan ge bränsle till flera sociala ingenjörsattacker eller avslöja ett företags hela leveranskedjestrategi.
  

• Oavsiktlig delning: Mänskliga fel kan leda till allvarliga inköpsrisker. Tänk dig till exempel en anställd som av misstag skickar konfidentiell bud-information till en extern part istället för en intern teammedlem.
  

• SMS: Dessa så kallade Smishing-attacker kan rikta sig mot en inköpschef för att locka dem att klicka på en skadlig länk genom ett till synes oskyldigt textmeddelande om en sändning eller faktura.
  

• IoT-enheter: När integration av IoT (Internet of Things) i leveranskedjan ökar, gör även de associerade cyberhoten det. En sensor på en fraktcontainer som överför platsdata kan hackas, vilket avleder varor till en obehörig plats och orsakar betydande störningar i leveranskedjan.
  

• Dåligt uppehåll: Grunden spelar roll. Ett toppmodern leveranskedjeföretag kan ha toppmoderna cyberförsvar, men om en anställds inloggning är det förutsägbara ‘1234’ bjuder de in problem. Korrekt cybersäkerhetshygien är en grundpelare för effektiv cybersäkerhet inom inköp.
  

• Gisslanprogramvara: Föreställ dig att en global återförsäljares hela inventeringssystem hålls som gisslan, med verksamheten förlamad om inte en lösensumma betalas. Detta är insatserna med attacker från gisslanprogram, speciellt när hela leveranskedjor utsätts.

Sammanfattningsvis, medan teknikens framsteg inom inköp har gjort transaktioner snabbare och globala samarbeten smidigare, har de otvivelaktigt banat väg för nya möjligheter för cyberhot. Därför är det viktigt för dig att inte bara vara vaksam utan också implementera robust cybersäkerhet hos samtliga steg inom dina inköpsprocesser.

I nästa avsnitt kommer vi att utforska 7 bästa praxis som varje inköpproffs bör följa.

7 nyckelsteg för att säkerställa cybersäkerhet inom inköp

Som vi redan har gått igenom kan cyberhot inom inköp lura bakom varje e-post, transaktion eller virtuellt utbyte.

Så, hur kan du bygga upp ett hållbart försvar kring hela din leveranskedja?

Här är 7 bästa praxis du bör följa:

1. Riskbedömning: Området för cybersäkerhet inom inköp är brett och ständigt föränderligt och i dess centrum ligger riskbedömningsprocessen. För att avsevärt minska chansen för en cyberattack måste varje företag, oavsett storlek, känna igen de inköpsrisker de står inför. Detta innebär en djupgående riskbedömning. Denna process kan bland annat innefatta:
   
   a. Analys av leverantörers programvara: Använd säkerhetsprotokoll för att granska tredjepartsprogramvara tidigare överträdelser.
   
   b. Anställdas åtkomstpunkter: Övervaka och säkra anställdas dataåtkomst över olika enheter och platser.
   
   c. Nätfiskövningar: Genomföra simulerade nätfisk-tester för att mäta anställdas sårbarhet.
   
   d. Molnlagringsrisker: Utvärdera din molnleverantörs säkerhetsåtgärder, säkerställ robust kryptering och backup-protokoll.
   
   Även om detta kan verka skrämmande och tidskrävande, kom ihåg att om du ignorerar detta steg kan det kosta avsevärt mycket mer i längden.
   
   
2. IT-samarbete: Samarbete är bron mellan inköp och cybersäkerhet. Föreställ dig till exempel en stor sjukvårdsorganisation som beslutar att anta ett nytt ERP-system (Enterprise Resource Planning) för lagerhantering. Inköpsteamet identifierar ett system som är kostnadseffektivt och uppfyller funktionella krav. Men genom att samarbeta med IT-teamet upptäcker de att detta särskilda system har en historia av säkerhetsbrott, så de beslutar sig för att hitta en säkrare lösning.
   
   
3. Begränsa åtkomsttillstånd: Åtkomst till ditt nätverk bör vara ett privilegium, inte en rättighet. För att hantera och minska inköpsrisker är det klokt att endast ge nätverksåtkomst till nödvändig personal. Ett mindre, välsmort inköpsteam kan på så sätt kraftigt minska risken för överträdelser som kommer från mänskliga fel.
   
   
4. Datakryptering: ERP-system inom inköp överför ständigt information mellan olika avdelningar med hjälp av anslutningar som API:er. För att se till att denna information inte avlyssnas eller läses av någon obehörig kan den krypteras. Föreställ dig en inköpschef som skickar konfidentiell prissättningsinformation till en leverantör genom ett ERP-system. Istället för att skicka denna information som klartext som kan avlyssnas och förstås av hackare, omvandlar kryptering den till en röra av tecken. Hos leverantören dekrypterar deras system meddelandet, vilket avslöjar den ursprungliga informationen.
   
   
5. Brist på ägande eller förvaltning av data: En vanlig fallgrop som många företag snubblar på är ett förvirrande system för hantering av cybersäkerhet i leveranskedjan. Att jonglera flera roller och ansvarsområden utan tydlig avgränsning kan öka sannolikheten för fel. Därför kan det vara en game-changer att ha en enda ägarpunkt eller använda dataverktyg för en heltäckande översikt.
   
   
6. Utveckla en responsplan: Även de mest befästa murarna kan brytas. Om (eller när) detta händer, hur du reagerar påverkar attackens inverkan. En välstrukturerad responsplan fungerar som din backup, vilket garanterar en snabb och effektiv reaktion. Föreställ dig en inköpsavdelning som får falska fakturor från en påstådd leverantör på grund av ett systemintrång. Istället för att lamslås så aktiverar de snabbt sin responsplan. Denna plan – utvecklad i förväg – vägleder dem att omedelbart frysa alla betalningar till den misstänkta leverantören, meddela IT för att spåra och säkra överträdelsen och varna alla andra leverantörer för att validera nyinkomna kommunikationer. Tack vare deras snabba och organiserade respons kan de navigera situationen, förhindra ekonomiska förluster och återställa systemets säkerhet på ett snabbt sätt.
   
   
7. Håll dig uppdaterad om aktuella cyberhot: I kampen mot leveranskedjehot är självbelåtenhet fienden. Eftersom cyberhot ständigt utvecklas, garanterar säkerhetsuppdatering av din programvara att du är bättre förberedd för att möta framväxande utmaningar.

Slutsats  

Allt som allt, varför är cybersäkerhet inom inköp viktigt?

I dagens digitala era kan ett enda fel klick innebära katastrof. Att förstå denna verklighet är grunden för att implementera starka cybersäkerhetsprocesser genom hela din leveranskedja.

I denna artikel guidade vi dig genom de vanligaste cyberhoten inom inköp och upphandling och vi beskrev 7 bästa praxis för att bygga motståndskraft mot framtidens cyberattacker.

Som en sista anmärkning, kom ihåg att din inköpsprocess inte bara handlar om sourcing och inköp av varor, utan det handlar även om att skydda integriteten, tryggheten och konfidentialiteten i varje transaktion.