NIS2 - leverantörskedjan (1).jpg

Säkerhetskrav sätter leverantörskedjan i fokus

I takt med att Cybersäkerhetslagen och NIS2 skärper kraven på cybersäkerhet blir det tydligt att säkerhetsarbetet inte längre kan stanna vid den egna organisationen. Leverantörskedjan, från driftspartners och AI-tjänster till open source och tredjepartsverktyg, har blivit en allt viktigare del av riskbilden.

Omvärldsläget gör leverantörskedjan till en viktig säkerhetsfråga

I september 2024 exploderade hundratals personsökare som tillhörde medlemmar i Hizbollah i Libanon och Syrien i två koordinerade attacker som dödade 42 personer och skadade över 3700, varav de flesta civila. Personsökarna hade köpts in för att motverka sårbarheter i smarttelefoner, men den israeliska säkerhetstjänsten hade på vägen byggt in explosiva komponenter och sålt sökarna genom ett skalföretag.

Exemplet kan tyckas extremt i en svensk kontext, men pekar på vikten av att inte bara kontrollera leverantören som säljer slutprodukten, det krävs kontroll över hela leveranskedjan. Antagonister kan tjäna pengar på utpressning, användaruppgifter eller företagshemligheter, och det finns en stark motivation att kunna manipulera produkter som organisationer frivilligt implementerar i sina IT-miljöer.

En angripare med resurser kan ta kontroll över delar av IT-miljön hos en leverantör som ingår i produkter som säljs vidare till hundratals kunder. Komprometterade produkter som frivilligt implementeras i IT-miljön kan lättare kringgå skydd som är till för att blockera attacker utifrån. Bristen på riskhantering, otydliga säkerhetskrav vid inköp och otillräcklig granskning och uppföljning av säkerhet blir till sårbarheter som kan utnyttjas för att ta sig in i miljöer som annars är svåråtkomliga.

Nya regelverk flyttar leverantörskedjan högre upp på agendan

Varje gång vi köper något från en leverantör, kanske kiosken på hörnet, elektronikkedjan eller mode på nätet, köper vi i förlängningen från tiotals, ibland hundratals företag samtidigt. Inom livsmedelsindustrin har man länge diskuterat ursprung och etik för leverantörer, och skandaler har fått uppmärksamhet i media under lång tid. Men för hård- och mjukvaruindustrin har frågan stått i bakgrunden tills nyligen. Med den nya Cybersäkerhetslagen, NIS2 och i nationella och europeiska initiativ för cyberresiliens får leverantörskedjan stå i strålkastarljuset, och organisationerna verkar inte riktigt redo.

Det påverkar fler än de som omfattas direkt av lagen

När Cybersäkerhetslagen nu har trätt i kraft, kommer många sektorer att behöva leva upp till högre cybersäkerhetskrav än tidigare, men det många ännu inte vet är att detta även kommer att få konsekvenser för de företag som levererar produkter och tjänster till de sektorer som omfattas av lagen.

För att inte bli överraskad behöver både organisationer i de sektorer som berörs av lagen, och deras leverantörer få koll på leveranskedjor och göra rätt kontroller för att minimera risken för svaga länkar.

Men hur gör man? Först bör man bli klar med vad som faktiskt innefattas i begreppet leverantör. Ofta finns en blandning av stora och kritiska leverantörer, och små kanske till och med kostnadsfria applikationer som har gått igenom en snabb eller obefintlig granskning innan den installeras på datorerna.

Några exempel på vad som ingår i begreppet ”Leverantörskedja” är:

  • Driftspartners

  • AI-tjänster

  • Open-sourceapplikationer

  • Hårdvara

  • Tredjepartsbibliotek – Inköpta eller från öppna källor

  • Gratis verktyg från nätet

  • … och alla deras leverantörer

Mer om hur man granskar sina leverantörer kan man läsa om här:

Det är dock viktigt att först genomföra riskbedömningar av hur kritisk både produkten och leverantören är innan man påbörjar åtgärder eller skickar ut nya krav. Lämplighet och proportionalitet är nyckelord som är lika viktiga som avtalskrav och uppföljning.  

Summering: 

En attack på leveranskedjan kan leda till tjänstebortfall, förlust och läckage av data för många organisationer samtidigt och kan i värsta fall påverka samhällsviktig infrastruktur. Därför har strukturerade och proportionerliga säkerhetsgranskningar av leverantörer på kort tid fått en central roll i nationella och europeiska sammanhang, och trycket på både kund och leverantörer i flera led har ökat.

På XLENT Cyber Security kan vi stötta organisationer i att ställa krav och skapa struktur i interna och externa säkerhetsgranskningar, hör av er om ni vill veta mer.

Kontakt

Fredrik Bellner