• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Ingen kedja är starkare än sin svagaste länk, gäller i hög grad supply chain kontra cyberhot

Jag vill påstå att man kan dela in riskerna i leverantörskedjan lite grovt i fyra områden: risken kring underleverantörer, digitala risker, bedrägerier och skydd av information. Mer förtydligat så kan dessa fyra områden översättas till teknik, informationssäkerhet, GDPR (juridik) och säkerhetskultur. Det konstaterar Robert Willborg, CSA på OneMore Secure.

-

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.

Vad gäller vanliga brister hos underleverantörer är på intet vis kopplat till att en underleverantör struntar i att säkra upp leverantörskedjan. Det hela handlar om förmåga, kunskap och framför allt tid. Men ovetande har många underleverantörer säkerhet på plats, security by default. Men för att nå till en lägstanivå kring cybersäkerhet så måste mycket anpassas, security by design. Det är här första varningsflaggan höjs.

”Varför är underleverantörer en akilleshäl i huvudleverantörens arbete med cybersäkerhet?”

Det är inte ovanligt att en leverantör till en större organisation, låt oss säga en samhällsviktig funktion, vänder sig i sin tur till underleverantörer. Extremt få om ens någon kan tillhandahålla en totallösning. Leverantören i första steget kan mycket väl ha råd, resurser och tid att lägga ner på sin cybersäkerhet. Där finns oftast teknik, styrning och systematik, efterlevnadsprocesser juridiskt och vissa udda fall en blomstrande säkerhetskultur. Man har skydd på enheter, koll på skyddet av sin information, allt följer lagar och regler och dessutom får anställda i en positiv och pedagogisk kontext den kunskap de behöver för att utföra sina arbetsuppgifter för att stå emot cyberhoten. Men hur är det med leverantörens underleverantörer? Har de samma förutsättningar? Och varför är underleverantörer en akilleshäl i huvudleverantörens arbete med cybersäkerhet?

Till att börja med så kan jag hänvisa till senaste tidens incidenter för att påvisa underleverantörers vikt, inte minst COOP-incidenten borde få tvivlaren att tänka om. Vidare på detta tema så har underleverantörer sällan eller aldrig en cybersäkerhetsförmåga på plats värdig dagens cyberhot. Men vissa verksamheter anser underleverantören som den svaga länken i leverantörskedjan. Och det är här det blir riktigt huvudlöst. De kontrollerar sina underleverantörer genom att ställa krav på underleverantören att ha ett ISO eller motsvarande ledningssystem för att underleverantören skall fortsatt få göra affärer med leverantören. De kräver detta i majoriteten av fallen för att det låter bra utan att ha minsta koll på vad de a) kräver och b) vad detta innebär som helhet och för underleverantören. Och det tar inte bort behovet av att en underleverantör måste ha cybersäkerhet på plats.

”Det blir som att en blind leder
en döv mot stupet”

Verkligheten är den att få underleverantörer har en halv miljon att slänga ut på ett ramverk som endast gör att de får vara med i en upphandling åt sin största kund, och i udda fall sin enda kund. De har än mindre tiden att införa ramverket, efterleva det och testa det. Därmed skulle jag vilja gå så långt att detta huvudlösa och tanklösa sätt allvarligt hotar den digitala jämställdheten på marknaden. Därtill tillför den noll cybersäkerhet avseende motståndskraft, kontinuitet och global konkurrens. Genom att inte förstå vilka krav du bör ställa och kan ställa på en underleverantör utan att ta till ett krav som inte är realistiskt eller ens garanterar att underleverantören gör säkerhet så blir det som att en blind leder en döv mot stupet.

Robert Willborg, CSA OneMore Secure

Strunta i ledningssystem och ställ krav på ett certifikat eller intyg som vittnar om en underleverantör som gör säkerhet som process systematiskt året om. Är det inte det som ett ramverk skall göra? Jo, men det gör dem inte. De är krångliga, byråkratiska och retoriska haveri när det gäller att författa kontrollpunkter och tillför ingen affärsnytta på denna nivå. Antalet ramverkscertifikat på denna nivå talar sitt tydliga språk och bevisar min tes, de är nämligen noll. Därav min kritiska hållning till dem. Säkerhet är lätt att göra rätt om man vet vad man sysslar med.

REKLAMSAMARBETE

Kurs i NIS2 förbereder företag för kommande cybersäkerhetskrav

Från tisdag till torsdag vecka 6 och vecka 11 erbjuds två tredagars distanskurser med fokus på det kommande NIS2-direktivet, som väntas bli lag i...

FLER NYHETER

Partnersec levererar besökshanteringssystem till Skövde kommun

– Detta är ett led i kommunens säkerhetsarbete och syftet är att minska risken för att tjänstepersoner och politiker utsätts för hot och våld,...

REKLAMSAMARBETE

Genetec State of Physical Industry Report: Hybrid Cloud and AI Adoption accelerate

Genetec Inc. has launched the results of its 2025 State of the Physical Security Report. Based on insights from over 5,600 physical security leaders...

Junglemap anställer digital marketing manager

Malin Cartagena Lindell har tidigare erfarenhet från SaaS-bolag inom rekryteringsbranschen och kommer nu senast från rollen som marknadskoordinator på Higher och Next u AB. –...

REKLAMSAMARBETE

6 Reasons to choose Milestone XProtect

In today’s dynamic world, basic video recording barely scratches the surface of what your security system needs. You require a vigilant security posture, capable...

Ny vd för Check Point – ”Big Gil” intar ordförandeposten

– Check Point inleder ett nytt kapitel, med min övergång till min nya roll som verkställande ordförande och utnämningen av Nadav som företagets nya...

Natotoppar till Folk och Försvars Rikskonferens

– I ljuset av Sveriges medlemskap i Nato är vi glada och ärade för att Radmila Šekerinska och Christopher Cavoli deltar som talare vid...

REKLAMSAMARBETE

”Vi delar syfte – stärka Sveriges förmåga att hantera komplexa säkerhetsutmaningar”

Hallå där Pernilla Hörnfeldt, Mötesplats Samhällssäkerhet, i år är ni med som sponsor av Säkerhetsgalan som går av stapeln den 30 september i Stockholm...

Säkerhetsrådgivare glömde kvar hemlighetstämplade dokument

Minst en av handlingarna var säkerhetsskyddsklassificerad, vilket innebär att uppgifterna kan orsaka skada för Sveriges säkerhet om de röjs. Regeringskansliet har bedömt incidenten som...

Nya åtgärder ska stärka säkerheten i Östersjön

Sverige är medlem i JEF sedan 2017. Detta är andra gången JEF tar initiativ för att öka vaksamhet och närvaro i områden med kritisk...

Omegapoint utser ny marknadschef för koncernen

Andreas Collin kommer senast från rollen som marknadschef i Omegapoints dotterbolag Basalt.– Omegapoint har redan ett starkt rykte som expert på cybersäkerhet och digitalisering....

Lyckades vi inte sparka ut cyberbrottslingarna

Precis som resten av Europa upplever vi en ökning av cyberattacker här hemma. Antalet ransomware- och leverantörskedjeattacker har naturligtvis uppmärksammats av politikerna i Europaparlamentet....

Blockering av övergreppsmaterial ökade under 2024

Vad som sticker ut under 2024 är att blockeringar baserade på listor från polisen ökade markant, från 3 084 823 under 2023 till 5 348 791...

God jul och gott nytt år!

Då är ännu ett år till ända och redaktionen kommer att ta julledigt genom att koppla av i favoritfåtöljen och sippa på glögg i...

Emanuel Lipschütz ny styrelseordförande i Acebit

– Ökad automation i nätverken är ofrånkomlig idag, NIS2 och säkerhetshoten ökar behoven ytterligare. Acebit har en unik expertis i att designa, bygga och...

Zitac vinner upphandling för Malmö Stads nya ITSM-system

– Vi på Zitac är stolta över att ha vunnit upphandlingen med Malmö Stad i detta viktiga projekt. Tillsammans kommer vi att modernisera deras ITSM-processer och...

Säkerhetsprövning 2.0: En balans mellan compliance, riskhantering och den personliga integriteten

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.I en tid då Sveriges säkerhet står inför flera utmaningar har säkerhetsprövning blivit ett...

Knowit Dataunit rekryterar vd från 4C Strategies

Nina Larsson tillträder tjänsten på Knowit vid årsskiftet och kommer närmast från en roll som stabschef och principalkonsult på konsultbolaget 4C Strategies. Hon har även...