• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Ingen kedja är starkare än sin svagaste länk, gäller i hög grad supply chain kontra cyberhot

Jag vill påstå att man kan dela in riskerna i leverantörskedjan lite grovt i fyra områden: risken kring underleverantörer, digitala risker, bedrägerier och skydd av information. Mer förtydligat så kan dessa fyra områden översättas till teknik, informationssäkerhet, GDPR (juridik) och säkerhetskultur. Det konstaterar Robert Willborg, CSA på OneMore Secure.

-

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.

Vad gäller vanliga brister hos underleverantörer är på intet vis kopplat till att en underleverantör struntar i att säkra upp leverantörskedjan. Det hela handlar om förmåga, kunskap och framför allt tid. Men ovetande har många underleverantörer säkerhet på plats, security by default. Men för att nå till en lägstanivå kring cybersäkerhet så måste mycket anpassas, security by design. Det är här första varningsflaggan höjs.

”Varför är underleverantörer en akilleshäl i huvudleverantörens arbete med cybersäkerhet?”

Det är inte ovanligt att en leverantör till en större organisation, låt oss säga en samhällsviktig funktion, vänder sig i sin tur till underleverantörer. Extremt få om ens någon kan tillhandahålla en totallösning. Leverantören i första steget kan mycket väl ha råd, resurser och tid att lägga ner på sin cybersäkerhet. Där finns oftast teknik, styrning och systematik, efterlevnadsprocesser juridiskt och vissa udda fall en blomstrande säkerhetskultur. Man har skydd på enheter, koll på skyddet av sin information, allt följer lagar och regler och dessutom får anställda i en positiv och pedagogisk kontext den kunskap de behöver för att utföra sina arbetsuppgifter för att stå emot cyberhoten. Men hur är det med leverantörens underleverantörer? Har de samma förutsättningar? Och varför är underleverantörer en akilleshäl i huvudleverantörens arbete med cybersäkerhet?

Till att börja med så kan jag hänvisa till senaste tidens incidenter för att påvisa underleverantörers vikt, inte minst COOP-incidenten borde få tvivlaren att tänka om. Vidare på detta tema så har underleverantörer sällan eller aldrig en cybersäkerhetsförmåga på plats värdig dagens cyberhot. Men vissa verksamheter anser underleverantören som den svaga länken i leverantörskedjan. Och det är här det blir riktigt huvudlöst. De kontrollerar sina underleverantörer genom att ställa krav på underleverantören att ha ett ISO eller motsvarande ledningssystem för att underleverantören skall fortsatt få göra affärer med leverantören. De kräver detta i majoriteten av fallen för att det låter bra utan att ha minsta koll på vad de a) kräver och b) vad detta innebär som helhet och för underleverantören. Och det tar inte bort behovet av att en underleverantör måste ha cybersäkerhet på plats.

”Det blir som att en blind leder
en döv mot stupet”

Verkligheten är den att få underleverantörer har en halv miljon att slänga ut på ett ramverk som endast gör att de får vara med i en upphandling åt sin största kund, och i udda fall sin enda kund. De har än mindre tiden att införa ramverket, efterleva det och testa det. Därmed skulle jag vilja gå så långt att detta huvudlösa och tanklösa sätt allvarligt hotar den digitala jämställdheten på marknaden. Därtill tillför den noll cybersäkerhet avseende motståndskraft, kontinuitet och global konkurrens. Genom att inte förstå vilka krav du bör ställa och kan ställa på en underleverantör utan att ta till ett krav som inte är realistiskt eller ens garanterar att underleverantören gör säkerhet så blir det som att en blind leder en döv mot stupet.

Robert Willborg, CSA OneMore Secure

Strunta i ledningssystem och ställ krav på ett certifikat eller intyg som vittnar om en underleverantör som gör säkerhet som process systematiskt året om. Är det inte det som ett ramverk skall göra? Jo, men det gör dem inte. De är krångliga, byråkratiska och retoriska haveri när det gäller att författa kontrollpunkter och tillför ingen affärsnytta på denna nivå. Antalet ramverkscertifikat på denna nivå talar sitt tydliga språk och bevisar min tes, de är nämligen noll. Därav min kritiska hållning till dem. Säkerhet är lätt att göra rätt om man vet vad man sysslar med.

REKLAMSAMARBETE

Säkra leverantörskedjan

Hot och risker kopplat till leverantörskedjan är ett gissel som går tillbaka många år. Många är de incidenter där just underleverantören och deras bristande...

FLER NYHETER

Sofistikerade DDoS-attacker överlistar statiska skydd – nu krävs uppdaterade försvarstekniker

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.DDoS-attacker, distribuerade överbelastningsattacker, är enkla att förstå i stora drag. Det handlar om att...

REKLAMSAMARBETE

Nyckelfri vardag för din bostadsrättsförening

– I en bostadsrättsförening finns det många fysiska nycklar, där förvaltaren måste låsa upp för de boende när de tappat bort sina nycklar. Detta...

Cyberhot mot sjukvården fortsätter öka

Under det senaste året har attackerna ökat med 78 procent och stigit till ett genomsnitt på 1 426 attacker per organisation och vecka, en...

REKLAMSAMARBETE

Teknik för en säkrare energibransch

Ett ställverk på en avlägsen plats. En transformatorstation djupt inne i skogen. Mängder av viktiga – och geografiskt spridda – byggnader. Så ser verkligheten...

Ny försäljningschef på Basalt

Ulrika Wergens har under många år arbetat med försäljning, ledning, förändringsledning och affärsutveckling inom bland annat IT- säkerhets- och utbildningssektorn.– Att få arbeta...

CSG får fortsatt förtroende som trygghetsvärdar av SL

Uppdraget, som startade den 1 oktober 2020, innefattar en löptid om totalt tre år med en option på ytterligare två plus ett år. Trafikförvaltningen...

REKLAMSAMARBETE

Vem, mot vem – och hur? En kategorisering av cyberkriminella, deras offer och deras...

Året började med en internationellt uppmärksammad attack mot en oljetank, tätt följt av hackergruppen Lapsus$s angrepp mot Samsung – då en hel del konfidentiella...

OneMore Secure ingår partnerskap med norskt investeringsföretag

OneMore Secure grundades 2022 och släppte i januari 2023 sin Saas-tjänst med en säkerhetsdeklaration, baserad på 40 verifierade kontrollpunkter som visar på företags motståndskraft...

Så kan självkörande bilar bli säkrare

Avancerade förarassistanssystem (ADAS) och automatiserad körning (AD) förbättrar körkomforten och gör trafiken säkrare genom att antalet olyckor på våra vägar minskas. Om man utvecklar...

Utbyggnad av fiber och 5G minskar bredbandsklyftan

Utbyggnaden av fibernät utanför tätort driver på den ökade bredbandstäckning som PTS redovisar i sin årliga kartläggning. Täckningen av 5G-nät har också ökat betydligt...

Möt den grävande journalisten Tom Burgis under Penningtvättsdagarna

Tom Burgis är författare till den storsäljande boken Kleptopia: How Dirty Money Is Conquering the World och kommer att rapportera för den brittiska dagstidningen...

Tempest Security inför AI-driven larmfiltrering

– U-Filter visade sig vara upp till tre gånger mer effektivt vid filtrering av falsklarm än andra lösningar. Vi använder U-filter i skarp drift i...

Ny HR-chef på Heras

Maria Mäki tillträde sin nya roll som HR-chef för Heras AB i november 2022. Huvudkontoret har sitt säte i Helsingborg, men rollen innebär ansvar...

IMY startar innovationshub

I april 2021 fick Integritetsskyddsmyndigheten (IMY) i uppdrag av regeringen att genomföra metod- och kunskapsutvecklande insatser för att höja kunskapen om integritets- och dataskyddsfrågor...

Technopolis signerar långsiktigt avtal med Rapid Säkerhet

– Det som avgjorde vårt val av Technopolis är helheten. Det finns mycket bra här – närhet till våra kunder, lokalernas utformning och potential,...

Du kan aldrig skydda det du inte vet finns

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Tyvärr finns det inga tecken på att cyberattackerna minskar. Faktum är att de viktiga...

Advenica blir medlem i forskningssamarbetet Software Center

Software Center har som mission att avsevärt förbättra Software Engineering-kapaciteten och digitaliseringsförmågan hos mjukvaruintensiv industri. Forskningen handlar därför om hur digital transformation påverkar ett...