Leverandørkjedesikkerhet

Bedrifter og offentlig myndigheter har lenge innsett sikkerhetsrisikoen ved leverandørkjeder, og flere alvorlige sikkerhetsbrudd kan spores tilbake til leverandørkjeder.

Et av de mer interessante eksemplene på sikkerhetsbrudd i leverandørkjeden er CIAs etterretningskupp på 1950-tallet da de fikk fatt i den sovjetiske satellitten Lunik. Under transport mellom utstillinger, klarte CIA å skaffe seg uforstyrret tilgang til satellitten over 24 timer. Agentene åpnet kassen, tok satellitten fra hverandre og fotograferte alle delene, satte det sammen igjen og fikk det tilbake i kassen igjen uten at noen oppdaget hva som hadde hent. Amerikanerne fikk på denne måten tatt igjen forspranget Sovjetunionen hadde på romfartsfeltet. Dette gjennom et sikkerhetsbrudd i leverandørkjeden.

Risiko i digitale leverandørkjeder

I dag ligger risikoen først og fremst i digitale leverandørkjeder. Sikkerhet i forsyningskjeden innebærer først og fremst å minimere risikoen ved bruk av programvare utviklet av en annen organisasjon, og sikring av organisasjonsdata som en annen organisasjon har tilgang til i forsyningskjeden din. Organisasjoner kan ikke ta for gitt at programvaren de bruker eller kjøper er sikker.

Når flere bedrifter skal samarbeide, er det vanlig å dele sensitive data og jobbe i felles applikasjoner. Dette kan føre til at et sikkerhetsbrudd hos én aktør påvirker hele verdikjeden. I stedet for å angripe en aktør direkte, kan cyberkriminelle finne det svakeste leddet i en leverandørkjede. Gjennom å angripe denne kan de dermed nå sitt endelige mål.

Et av de mest kjente slike angrepene var SolarWinds-angrepet i 2020, der hackere fikk tilgang til en rekke selskaper og organisasjoner verden over gjennom en bakdør i en av SolarWinds’ applikasjoner. Det totale antallet selskaper som ble rammet er fremdeles usikkert, men mer enn 18.000 hadde lastet ned den infiserte koden som gjorde dem sårbare for angrep. Blant de selskapene som ble angrepet var giganter som Cisco, Microsoft og Intel, samt det amerikanske forsvarsdepartementet, det norske oljefondet og norske kraftselskaper.

– Cybersikkerhet er aldri bare et teknologiproblem, det er et menneske-, prosess- og kunnskapsproblem. Sikkerhetsbrudd har en tendens til å handle mindre om teknologisvikt og mer om menneskelige feil. IT-sikkerhetssystemer vil ikke sikre kritisk informasjon og applikasjoner med mindre ansatte i hele forsyningskjeden bruker sikker cybersikkerhetspraksis, sier Martin Højriis Kristensen i GlobalConnect

Sjekkliste for digital leverandørsikkerhet

• Sørg for rollebasert tilgang til data
• Bruk uavhengige tredjeparter til å verifisere og sertifisere potensielle samarbeidspartnere
• Sett begrensninger for tredjeparts-applikasjoners tilganger
• Kjør regelmessig audits av leverandører og programvare
• Vær ajour med oppdateringer av all programvare
• Ha en responsplan for å raskt kunne reagere på trusler
• Lær opp medarbeiderne til å reagere på uventede endringer og uregelmessigheter
• Søk råd og retningslinjer hos relevante myndigheter, for eksempel anbefalinger fra Nasjonal sikkerhetsmyndighet