Inventering av underleverantörers säkerhet



Cybercom hjälper dig att inventera säkerheten hos era externa leverantörer. Enkelt att komma igång.

Ingen har undgått att höra om 1177-händelsen. Många av oss har personligen blivit utsatta för risk. Men det var inte helt oväntat.

Det är nämligen svårt att få en kontinuitet i styrningen av underleverantörers säkerhet. Ibland har man helt missat att få med kraven i upphandlingen. Ibland är de upphandlade kraven så flytande att det är svårt att ens avgöra om en säkerhetsbrist hos en leverantör är ett avtalsbrott. Framför allt är det svårt att täcka ALLA leverantörer och få en bild av deras efterlevnad.

Det är här Cybercom kan hjälpa till. Cybercom har ett verktyg – egenutvecklat – som används av offentlig sektor, men också storbanker och försäkringsbolag. Verktyget är gjort för att inventera säkerhet – det är dess centrala funktion. Hade det varit möjligt att följa upp dessa frågor med Excelark hade alla redan gjort det: uppgiften kräver verktygsstöd.

Men det är också svårt, särskilt för offentlig sektor, att snabbt komma till skott. Det finns upphandlingslagar att ta hänsyn till. Man behöver utbilda egen personal för att göra jobbet. Den egna personalen har dessutom andra uppgifter.

För att kunna stötta i den akuta situation som nu råder har Cybercom tagit fram ett erbjudande som hanterar detta.

Cybercoms förslag är:

  • En konsult från Cybercom arbetar med att inventera säkerheten hos era externa leverantörer.
  • Konsulten har tillgång till Cybercom Compliance Portal, som klient, Cybercom men också klientens leverantörer arbetar i. Compliance Portal kommer att laddas med regelverket ”Upphandlingskollen++”, som är en vidareutveckling av Cybercoms upphandlingskollen (www.upphandlingskollen.se).
  • Konsulten fångar upp frågeställningar och märkliga svar från leverantörer och interagerar med leverantörerna för att reda ut oklarheter.
  • Konsulten kommer att månadsvis söka efter externt exponerade system via säkerhets-sökmotorn Shodan - för varje leverantör.
  • Konsulten återrapporterar nyckeltal och underlag från leverantörernas arbete varannan vecka. Cybercom kommer att förvalta en prioriterad lista på vilka leverantörer som bör utsättas för en granskning på plats. 
  • Konsulten arbetar med egen uppföljning enligt avtal, men kan också arbetsledas av uppdragsgivaren i upp till 8 timmar per kalendermånad.
  • Uppdragsgivare som vill ingå i en benchmarkingstudie kommer att kunna ”poola” sina resultat i en nyckeltalsstudie, som återkopplas till dess deltagare, i den mån detta kan göras med anonymitet. Minst 5 uppdragsgivare behöver delta i en sådan process.

Det är enkelt att gå igång med denna insats eftersom:

  • Den är långvarig – 12 månader kontinuerlig förvaltning. Efter detta kommer uppdraget att avslutas och data överlämnas till kunden för import till andra lösningar.
  • Den är enkel – för att gå igång behöver Cybercom en lista med leverantörer och deras kontaktpersoner. Cybercom förser er med en mall för detta. Listan kan självklart förändras under tidens gång.
  • Den är effektiv – leverantörerna ges enkel möjlighet att rapportera vad de har – och inte har - för säkerhet. Detta ger efterföljande granskingar – om man väljer att genomföra dessa – en ”flygande start”. Även om leverantörernas svar ibland måste korrigeras vid en granskning på plats har man uppnått flera nyttor:
    • Man får klargjort att leverantören har tagit del av frågeställningarna.
    • Man får en överblick över vilken teknologi som leverantören påstår sig använda i sin leverans.
    • Man får svar – eller inte svar – på frågeställningarna. 
    • Man ser var enskilda leverantörer skiljer sig från mängden. Är de mer vaga än andra i sina svar, har de märkligt lägre - eller högre - påstådd efterlevnad mot säkerhetskontrollerna? 
  • Den är lätt att avropa. Tjänsten kostar 40 KSEK per månad och ligger därmed under beloppsgränsen för offentlig upphandling.

Cybercom förbehåller sig rätten att begränsa uppgiftens omfattning i det fall dess storlek omöjliggör leverans med avsatta resurser.

Kontakta oss för mer information

Mikael Sundberg

Sales Manager Security

Ring kontakt
Maila kontakt