• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Ingen kedja är starkare än sin svagaste länk, gäller i hög grad supply chain kontra cyberhot

Jag vill påstå att man kan dela in riskerna i leverantörskedjan lite grovt i fyra områden: risken kring underleverantörer, digitala risker, bedrägerier och skydd av information. Mer förtydligat så kan dessa fyra områden översättas till teknik, informationssäkerhet, GDPR (juridik) och säkerhetskultur. Det konstaterar Robert Willborg, CSA på OneMore Secure.

-

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.

Vad gäller vanliga brister hos underleverantörer är på intet vis kopplat till att en underleverantör struntar i att säkra upp leverantörskedjan. Det hela handlar om förmåga, kunskap och framför allt tid. Men ovetande har många underleverantörer säkerhet på plats, security by default. Men för att nå till en lägstanivå kring cybersäkerhet så måste mycket anpassas, security by design. Det är här första varningsflaggan höjs.

”Varför är underleverantörer en akilleshäl i huvudleverantörens arbete med cybersäkerhet?”

Det är inte ovanligt att en leverantör till en större organisation, låt oss säga en samhällsviktig funktion, vänder sig i sin tur till underleverantörer. Extremt få om ens någon kan tillhandahålla en totallösning. Leverantören i första steget kan mycket väl ha råd, resurser och tid att lägga ner på sin cybersäkerhet. Där finns oftast teknik, styrning och systematik, efterlevnadsprocesser juridiskt och vissa udda fall en blomstrande säkerhetskultur. Man har skydd på enheter, koll på skyddet av sin information, allt följer lagar och regler och dessutom får anställda i en positiv och pedagogisk kontext den kunskap de behöver för att utföra sina arbetsuppgifter för att stå emot cyberhoten. Men hur är det med leverantörens underleverantörer? Har de samma förutsättningar? Och varför är underleverantörer en akilleshäl i huvudleverantörens arbete med cybersäkerhet?

Till att börja med så kan jag hänvisa till senaste tidens incidenter för att påvisa underleverantörers vikt, inte minst COOP-incidenten borde få tvivlaren att tänka om. Vidare på detta tema så har underleverantörer sällan eller aldrig en cybersäkerhetsförmåga på plats värdig dagens cyberhot. Men vissa verksamheter anser underleverantören som den svaga länken i leverantörskedjan. Och det är här det blir riktigt huvudlöst. De kontrollerar sina underleverantörer genom att ställa krav på underleverantören att ha ett ISO eller motsvarande ledningssystem för att underleverantören skall fortsatt få göra affärer med leverantören. De kräver detta i majoriteten av fallen för att det låter bra utan att ha minsta koll på vad de a) kräver och b) vad detta innebär som helhet och för underleverantören. Och det tar inte bort behovet av att en underleverantör måste ha cybersäkerhet på plats.

”Det blir som att en blind leder
en döv mot stupet”

Verkligheten är den att få underleverantörer har en halv miljon att slänga ut på ett ramverk som endast gör att de får vara med i en upphandling åt sin största kund, och i udda fall sin enda kund. De har än mindre tiden att införa ramverket, efterleva det och testa det. Därmed skulle jag vilja gå så långt att detta huvudlösa och tanklösa sätt allvarligt hotar den digitala jämställdheten på marknaden. Därtill tillför den noll cybersäkerhet avseende motståndskraft, kontinuitet och global konkurrens. Genom att inte förstå vilka krav du bör ställa och kan ställa på en underleverantör utan att ta till ett krav som inte är realistiskt eller ens garanterar att underleverantören gör säkerhet så blir det som att en blind leder en döv mot stupet.

Robert Willborg, CSA OneMore Secure

Strunta i ledningssystem och ställ krav på ett certifikat eller intyg som vittnar om en underleverantör som gör säkerhet som process systematiskt året om. Är det inte det som ett ramverk skall göra? Jo, men det gör dem inte. De är krångliga, byråkratiska och retoriska haveri när det gäller att författa kontrollpunkter och tillför ingen affärsnytta på denna nivå. Antalet ramverkscertifikat på denna nivå talar sitt tydliga språk och bevisar min tes, de är nämligen noll. Därav min kritiska hållning till dem. Säkerhet är lätt att göra rätt om man vet vad man sysslar med.

REKLAMSAMARBETE

SRI samlar säkerhets-Sverige på kunskaps- och medvetandehöjande Summit

För att bidra till att öka kunskapen och medvetenheten kring aktuella säkerhetsfrågor och hotaktörer samlar nu personalsäkerhetsföretaget SRI säkerhets-Sverige på en egen Summit –...

FLER NYHETER

Ny version av ”Den blomstertid nu kommer” varnar för digitala faror

Sommarperioden innebär tyvärr en kraftigt ökad risk för bedrägerier, nätfiske och bluffakturor. Brottslingar utnyttjar olika former av social manipulation och tekniska lösningar för att...

REKLAMSAMARBETE

”Generativ AI är fullkomligt avgörande för effektiv cybersäkerhet – både nu och i framtiden”

Den 13 juni, klockan 9.30, bjuder Aktuell Säkerhet och SentinelOne in till ett frukostwebinar om hur du kan använda generativ AI för effektivare cybersäkerhet,...

STUDIE: Svårt för myndigheter att använda AI på ett lagligt sätt

I Sverige har debatten kring användningen av molntjänster och lösningar med AI-funktionalitet i offentlig sektor varit omfattande. Den svenska sekretesslagstiftningen har nyligen ändrats för...

REKLAMSAMARBETE

Regeringen ger tummen upp för kritiserade Chat Control 2.0

Samtliga riksdagspartier utom Centerpartiet och Sverigedemokraterna gav under tisdagen stöd åt lagförslaget som nu kommer att beredas på EU-nivå.Kritiker menar att förslaget går alldeles...

It-säkerhet är också styrelsens ansvar

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.De senaste åren har en global teknisk revolution lett till genomgripande förändringar i de...

REKLAMSAMARBETE

Civila innovationer ska stärka Sveriges försvarsförmåga

Inom den civila sektorn drivs utveckling av banbrytande teknik inom områden som exempelvis AI, kvantteknik och autonoma system. Genom ett program för civil-militär innovation...

Okta anställer ledare för Norden och Baltikum

Dan Öhlander ansluter sig till Okta från Snowflake, där han ansvarade för företagets verksamhet i Norden och Baltikum. Hans erfarenhet av försäljning och ledarskap...

Chefer och skyddsombud har arbetsmiljökoll

Chefer och skyddsombud inom den privata sektorn tycker att det bedrivs ett aktivt arbetsmiljöarbete på deras arbetsplats, och anser att de har goda kunskaper...

Granskning av hur polisen hanterar uppgifter om barn färdig

IMY har granskat polisens hantering av uppgifter om barn i sin underrättelseverksamhet. Granskningen har avgränsats till hur polismyndigheten behandlar uppgifter om barn under 15...

Digitala driftavbrott kostar flera hundra miljarder dollar per år

Cybersäkerhets- och observerbarhetsföretaget Splunk har presenterat rapporten The Hidden Costs of Downtime, som belyser de direkta och dolda kostnaderna för oplanerade driftavbrott. Enligt undersökningen beräknas den...

Sweco vald till strategisk rådgivare åt danska Forsvarsministeriets Ejendomsstyrelse

Forsvarsministeriets Ejendomsstyrelse förvaltar och bygger ut militäranläggningar som kaserner, flottbaser, flygplatser, skjutbanor, övningsfält och övriga fastigheter för Danmarks försvarsmakts räkning. Ejendomsstyrelsen ansvarar också för...

”Den största säkerhetsutmaningen är flowet av människor”

I början av juli går den 52 Rosildefestivalen av stapeln. På ett enormt fält, i utkanten av den danska staden Roskilde, samlas omkring 130 000...

Seriline i samarbete med Zwipe – ska distribuera biometriska åtkomstkort i Norden

– Att utveckla lösningar för framtiden är avgörande för oss. Vi är glada över att samarbeta med Zwipe eftersom biometriska åtkomstkontrollsystem formar framtidens företagssäkerhet...

De kan bli Årets Säkerhetsprofil 2024

Årets Säkerhetsprofil är en av branschens mest ansedda utmärkelser och ges till någon som brinner för säkerhetsfrågor och som verkar inom branschen. Priset har...

IMY vill tillsätta utredning kring bakgrundskontroller

– Vi ser att det finns ett berättigat behov av att utföra bakgrundskontroller till exempel för att skydda samhället mot organiserad brottslighet, samtidigt som...