Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.

Att digitala leveranskedjor är en kritisk svag punkt i vår cybersäkerhet är välkänt. Den som tidigare tvivlat har sannolikt ändrat uppfattning efter den senaste tidens cyberattacker. Det är uppenbart att vi inte ställer rätt frågor om leveranskedjor, vilket exponerar oss för stora risker. Dagens digitala leveranskedjor består av flera lager med komplexa tekniska lösningar, vilket ytterligare försvårar överblicken av beroenden och potentiella risker. Regelverken ger viss vägledning om vilka säkerhetskrav vi bör ha på våra leverantörer, men det är tydligt att vi inte fullt ut förstår vilka konsekvenser ett dataintrång hos en av dem kan ha.

Vad är det vi behöver veta? Till att börja med behöver vi förstå vilka konsekvenser ett intrång hos en leverantör medför. För att få ett grepp om det behöver leverantören bakom digitala leveranskedjor, och även vi själva, besvara ett antal frågor, som de följande:

  • Vilka sårbarheter döljer sig i de grundläggande funktioner som finns i alla IT-miljöer, och som är lätta att bortse från? De här grundläggande funktionerna är inte angivna i beskrivningarna av hur tjänster fungerar, vilket gör att det är lätt att glömma bort dem.
  • Hur vattentäta är skotten mellan kunderna i de IT-miljöer som systemen finns i?
  • Hur ser hotbilden ut, vilka skyddsvärden hanteras redan och kommer hanteras hos den externa tjänsteleverantören?
  • Hur påverkas den egna IT-miljön, och i förlängningen supply chain-leverantörens, om en partner utsätts för intrång? Den här frågan behöver ställas till leverantören, partners och inte minst till den egna organisationen. Alla olika lösningar hänger ihop, därför sprider sig påverkan av intrång.
  • Kan ett intrång hos leverantören utgöra en fara för er data, eller används en lösning, likt Zero Knowledge, så leverantören själv inte kan komma åt er data?
  • Hur ska den kommande andra versionen av EUs NIS-direktiv uppfyllas vad gäller digitala leveranskedjor? Krav ställs både på en lägsta nivå för cybersäkerhet och för rapportering om säkerhetsincidenter. Kraven gäller för ett stort antal branscher och verksamheter. Alla företag och organisationer behöver kontrollera om de påverkas av NIS2 och hur de i så fall ska uppfylla de krav som ställs. De som träffas av NIS2 kommer också behöva ställa krav på sina leverantörer. NIS2 väntas träda i kraft i Sverige i form av en cybersäkerhetslag i januari 2025.

Med bra svar på de här frågorna har vi tagit de första stegen mot säkra digitala leveranskedjor. Men cybersäkerhet handlar inte bara om att säkra teknik. Det är också av allra högsta vikt att förstå vilka konsekvenser säkerhetslösningar får för verksamheten och affärerna.

En av de första saker som bör göras vid attacker, vilket alla riktlinjer beskriver, är att stänga ned alla kopplingar för att hindra hotaktören från att påverka IT-miljön ytterligare. Vid en drabbad kundmiljö, vilka konsekvenser får en nedstängning för andra kunder och intressenter? Det är allt som oftast inte tydligt och behöver undersökas närmare.

Kort sagt, det behövs nya riktlinjer, som också är förankrade i tekniken, för att kunna ställa rätt krav på leverantörer av digitala leveranskedjor. För att använda nätverkstermer behövs det mer separation, mer isolering och mindre beroenden för att kunna bygga robusta och motståndskraftiga IT-miljöer.

Emanuel Lipschütz, Conscia

De allra flesta vet nog vad som behöver göras, men tycker att det kostar för mycket och tar för mycket tid. En del organisationers inköpsavdelning vill inte ställa så tuffa krav, eftersom då kommer ingen vilja svara på upphandlingen. I den tid vi lever i duger inte den inställningen. Vi behöver bli mer noggranna och tuffare, mot leverantörerna, våra partner och oss själva.

Tydligast av allt är att vi måste bli redo för de utmaningar vi står inför, så låt oss ställa rätt frågor tillsammans framöver för att säkra vår digitala framtid!

  • #conscia
  • #cybersäkerhet
  • #supplychain

Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik

Sponsrat innehåll från Sectra Communications AB
ANNONS

Analys av nätverkstrafik – ett växande cyberhot 

— Insamling av metadata kan ge stora och potentiellt farliga insikter om individer och deras verksamheter, säger David [...]