KJEDEN: Leveransekjeden kan være et sikkerhetsproblem, skriver Martin Kristensen i Globalconnect. (Foto: Globalconnect)

Ikke bli det svakeste leddet!

I anledning Nasjonal sikkerhetsmåned er det en god anledning til å minne om de it-sikkerhetsmessige utforingene med dagens lange leverandørkjeder.

Publisert

Bedrifter og offentlige myndigheter har lenge innsett sikkerhetsrisikoen ved leverandørkjeder, og flere alvorlige sikkerhetsbrudd kan spores tilbake til leverandørkjeder.

Sjekkliste for digital leverandørsikkerhet

  • Sørg for rollebasert tilgang til data
  • Bruk uavhengige tredjeparter til å verifisere og sertifisere potensielle samarbeidspartnere
  • Sett begrensninger for tredjeparts-applikasjoners tilganger
  • Kjør regelmessig audits av leverandører og programvare
  • Vær a jour med oppdateringer av all programvare
  • Ha en responsplan for å raskt kunne reagere på trusler
  • Lær opp medarbeiderne til å reagere på uventede endringer og uregelmessigheter
  • Søk råd og retningslinjer hos relevante myndigheter, for eksempel anbefalinger fra Nasjonal sikkerhetsmyndighet

Et av de mer interessante eksemplene på sikkerhetsbrudd i leverandørkjeden er CIAs etterretningskupp på 1950-tallet da de fikk fatt i den sovjetiske satellitten Lunik. Under transport mellom utstillinger, klarte CIA å skaffe seg uforstyrret tilgang til satellitten over 24 timer. Agentene åpnet kassen, tok satellitten fra hverandre og fotograferte alle delene, satte det sammen igjen og fikk det tilbake i kassen igjen uten at noen oppdaget hva som hadde hent. Amerikanerne fikk på denne måten tatt igjen forspranget Sovjetunionen hadde på romfartsfeltet. Dette gjennom et sikkerhetsbrudd i leverandørkjeden.

Risiko i digitale leverandørkjeder

I dag ligger risikoen først og fremst i digitale leverandørkjeder. Sikkerhet i forsyningskjeden innebærer først og fremst å minimere risikoen ved bruk av programvare utviklet av en annen organisasjon, og sikring av organisasjonsdata som en annen organisasjon har tilgang til i forsyningskjeden din. Organisasjoner kan ikke ta for gitt at programvaren de bruker eller kjøper er sikker.

Når flere bedrifter skal samarbeide, er det vanlig å dele sensitive data og jobbe i felles applikasjoner. Dette kan føre til at et sikkerhetsbrudd hos én aktør påvirker hele verdikjeden. I stedet for å angripe en aktør direkte, leter cyberkriminelle etter det svakeste leddet i en leverandørkjede. Gjennom å angripe denne kan de dermed nå sitt endelige mål. Du vil verken være den som er offer for et leverandørkjedeangrep, eller den som bidrar til å slippe inn skurkene til din kunde. Det kan bli utrolig dyrt. Både i form av tapt omsetning og et ødelagt rykte.

Aldri bare et teknologiproblem

Et av de mest kjente slike angrep var Solarwinds-angrepet i 2020, der hackere fikk tilgang til en rekke selskaper og organisasjoner verden over gjennom en bakdør i en av Solarwinds’ applikasjoner. Det totale antallet selskaper som ble rammet er fremdeles usikkert, men mer enn 18.000 hadde lastet ned den infiserte koden som gjorde dem sårbare for angrep. Blant de selskapene som ble angrepet var giganter som Cisco, Microsoft og Intel, samt det amerikanske forsvarsdepartementet, det norske oljefondet og norske kraftselskaper.

Cybersikkerhet er aldri bare et teknologiproblem, det er et menneske-, prosess- og kunnskapsproblem. Sikkerhetsbrudd har en tendens til å handle mindre om teknologisvikt og mer om menneskelige feil. It-sikkerhetssystemer vil ikke sikre kritisk informasjon og applikasjoner med mindre ansatte i hele forsyningskjeden bruker sikker cyberhetsikkerhetspraksis.

Du vil ikke være det svakeste ledet.