Supply Chain Sikkerhed CERTA Intelligence & Security A/S Morten Kähler Head of Information Security
Omfattende konsekvenser Økonomi Viden Konkurrenceevne Arbejdspladser
Truslen Målrettet angreb Brede angreb Utilsigtede fejl Det reelle omfang er ukendt!
Kompromittering kan ske mange steder Leverandørens loyalitet ligger hos nogle andre Leverandøren presses af andre Nogen skaffer sig adgang til leverandøren Nogen skaffer sig adgang til produkter under transport Leverandøren laver utilsigtede fejl der kan udnyttes af andre Leverandørens underleverandør er udsat for det samme
Problemstillingen Leverandør Min virksomhed Leverandør Underleverandør Underleverandør Underleverandør Underleverandørens underleverandør Underleverandørens underleverandør Underleverandørens underleverandør
Balanceret sikkerhed Sikkerhed har en omkostning og ikke alle mål er lige værdifulde Hvad er vores væsentligste aktiver? Hvad har størst værdi for vores modstander?
Risikominimering og ledelsesansvar Vi kan ikke fjerne hele risikobilledet Risiko skal reduceres til det acceptable Restrisiko skal (som altid!) accepteres af ledelsen På et forståeligt grundlag Opmærksomhed på usikkerheder
Vores trusselsbillede Er min virksomhed et mål? Er jeg leverandør til en virksomhed der er et mål? Der står altid mennesker bag Viljen / Evnen / Midlerne Hvor skal vi hente viden? Og, er den viden relevant for min virksomhed?
Informationsindsamling Adgang til leverandører Vores kontrol hos leverandør 3. parts kontrol Deskreviewog leverandørens egenkontrol Indhentning Open source Rapporter Hændelser Rygter Lukkede kilder Egne erfaringer Egne kontakters erfaringer Samarbejde med myndigheder
Primært handler det om tillid Man siger tillid er godt men kontrol er bedre I praksis kan vi ikke være sikre på vores leverandørs handlinger Men vi kan gøre et forsøg resten er tillid
Så hvad kan vi gøre Inden valg af leverandør Undersøgelse af udfordringer for sikkerheden Vetting af leverandør Sikkerhedsreview af leverandør Leverandørens omgivelser Underleverandørens underleverandører Efter valg af leverandør Retten til løbende kontrol og tiltag Særlige krav til sikkerhed og kvalitet Kontraktstyring Løbende kvalitetskontrol og monitorering
Vettingaf leverandør Upålidelige medarbejdere Producerer for vores konkurrenter Deler uberettiget viden Omdømme Rygter i markedet Dårlig økonomi
Sikkerhedsreviewaf leverandør Samarbejdsvilje Modenhed Styr på sikkerhed Styr på egenkontrol
Leverandørens muligheder Leverandørens omgivelser Lokale politiske og juriske forhold Eksterne økonomiske forhold (kunder, branche, nationalt) Organiseret kriminalitet Kultur, normer og acceptabel adfærd Underleverandørens underleverandører Underleverandører med produkter af tvivlsom oprindelse Sikkerhed under logistik og transport
Open source intelligence(osint) Undersøgelsen af det vi ikke kan få udleveret Økonomisk undersøgelse Pressemæssig undersøgelse af omdømme i ind- og udland Monitorering af markedsrygter Pålidelighed hos leverandørens ledelse og nøglemedarbejdere Analyse af politiske og økonomiske klima (herunder samfundsøkonomi, infrastruktur/transport, politisk stabilitet, investeringsmiljø, arbejdsforhold, korruption)
Særlig krav til sikkerhed og kvalitet Ofte vælges en leverandør der kun næsten lever op til forhåbningerne Stil specifikke målbare krav til: Sikkerhed Kvalitet Underleverandørstyring
Kontraktstyring Hvis ikke det står i kontrakten er det ikke muligt Adgang til egen kontrol/revision Kontrol/revision fra pålidelig tredjepart Opfølgende tiltag, pålæg, straf, kontraktafslutning Vanskeligt hos leverandøren ofte næsten umuligt hos underleverandøren
Kontrol og monitorering Revision og stikprøver Hos leverandøren Hos underleverandører I logistikleddet Kontrol og test Ved modtagelse
Opsamling Fokus på vores væsentligste værdier Stoler vi på leverandøren Har leverandøren tilstrækkelig modenhed og kvalitet Har leverandøren tilstrækkelig sikkerhed Husk underleverandørerne
Gratis værktøj målrettet små og mellemstore virksomheder i Danmark SpionageTesten er udviklet af CERTA og finansieret af Industriens Fond
Yderligere information CERTA Intelligence & Security A/S (+45) 70273747 info@certaintelligence.com www.certaintelligence.com