Detta skapar en enorm risk: om en länk i kedjan bryts kan hela systemet falla. Angrepp på tredjepartsleverantörer, där cyberbrottslingar utnyttjar sårbarheter i företagets partners för att ta sig in i deras egna system, har blivit ett allt vanligare hot.
Hur kan då företag skydda sin egen infrastruktur samtidigt som IT/OT-miljöerna hos alla parter i leveranskedjan säkras? Och vilken roll bör lagstiftare och myndigheter spela i denna kamp?
En ökande risk – och stora konsekvenser om vi misslyckas
De senaste åren har vi sett en kraftig ökning av cyberangrepp riktade mot just tredjepartsleverantörer. Tredjepartsleverantörer används ofta för att effektivisera verksamheten eller få tillgång till specialiserad kompetens, men de kan också innebära säkerhetsrisker, exempelvis när de hanterar känslig data eller är kopplade till företagets nätverk.
Enligt en rapport från Cybersecurity Ventures förväntas kostnaderna för cyberbrott, globalt sett, uppgå till 10,5 biljarder dollar per år till 2025. Angrepp på leveranskedjor har stått för en betydande del av dessa förluster, och detta är en trend som förväntas växa. En studie från Gartner uppskattar att 45 % av företagen kommer att ha upplevt cyberangrepp på sin leveranskedja innan 2025, jämfört med 15 % år 2021.
SolarWinds betalade det ultimata priset
Effekterna av sådana attacker kan vara förödande. Angrepp mot tredjepartsleverantörer kan leda till stora driftstörningar, stöld av känslig information och allvarliga ekonomiska förluster. Ett uppmärksammat exempel är SolarWinds-attacken 2020, där hackare komprometterade mjukvaruleverantören SolarWinds. Attacken visade tydligt att det räcker med att en länk, i kedjan av tredjepartsleverantörer, har en sårbar produkt för att det ska kunna få omfattande, globala konsekvenser.
SolarWinds-attacken 2020 hade ansenliga och allvarliga konsekvenser för företag och myndigheter världen över. Enligt uppskattningar kostade attacken företag i genomsnitt 12 miljoner dollar per drabbat företag, inklusive direkta och indirekta kostnader som incidenthantering, systemåterställning och skadat rykte.
Hackarna utnyttjade sårbarheter i SolarWinds Orion-programvara och kunde infiltrera över 18 000 organisationer globalt, även om inte alla blev aktivt mål för attacker. Händelsen ledde till omfattande driftstörningar, exponerad känslig information och dessutom riktades ljuset mot de risker som är förknippade med bristfällig säkerhet i infrastrukturen och hur det påverkar leveranskedjan.
SolarWinds utgör därför ett tydligt (avskräckande) exempel på hur otroligt viktigt det är att ha kraftfulla säkerhetsåtgärder i systemmiljöerna och ett proaktivt tillvägagångssätt för att hantera risker. Attacken har också lett till en ökad medvetenhet kring beroendet av tredjepartsleverantörer och vikten av robust cybersäkerhet.
Hur säkrar vi leveranskedjan och vem bär ansvaret?
Säkerhet i infrastrukturen kräver en holistisk strategi, där varje del av kedjan granskas och säkras. Här handlar det inte bara om att se till att företagets egna system är skyddade – även partners och leverantörer måste leva upp till högt ställda säkerhetskrav. Istället för att enbart försvara enskilda system, säkrar man alltså hela IT- och OT (Operational Technology) -miljöer och deras samverkan – en holistisk approach. OT är ofta äldre och svårare att uppdatera än IT-system, vilket gör det till en särskild sårbarhet i leveranskedjan.
Dessa insatser kräver i sin tur både resurser och kunskap, något som många företag ännu inte prioriterar tillräckligt högt. Men vilka bär egentligen ansvaret i de olika leden och vilka viktiga steg och åtgärder finns det att ta?
Standarder som tex ISO 28000 och NIS2 fungerar som vägledande riktlinjer inom olika områden, inte minst gällande just cybersäkerhet i systemmiljöer, och kan ge en ram för hur företag systematiskt kan jobba med dessa frågor. Dessutom har EU, med just sitt NIS2-direktiv, ställt högre krav på säkerhet och rapporteringsskyldigheter för leveranskedjor inom kritisk infrastruktur, vilket visar på en växande medvetenhet om vikten av att säkra alla typer av digitala, sammankopplade nätverk.
Dessa regelverk kan bli en drivkraft för förbättring, men bara om de implementeras, och följs upp, på ett korrekt sätt.
Framtidens utmaningar och möjligheter
Framåt ser vi att hotbilden kring den digitala infrastrukturen, vilken är en kritisk del av leveranskedjan, kommer att öka i komplexitet. Med ökande användning av IoT-enheter, AI och automatisering blir attackytan större, vilket innebär att fler sårbarheter och ”defekta” länkar i kedjan kan utnyttjas. En annan utmaning är att hackare kommer att accelerera och förfina sin konstform och bli än mer riktade, och företagen som befinner sig i risk måste vara beredda att möta dessa hot med lika avancerade försvar.
Samtidigt öppnar utvecklingen för nya möjligheter. Artificiell intelligens kan exempelvis användas för att övervaka systemmiljöer i realtid och identifiera avvikelser som kan indikera angrepp. Företag som tidigt investerar i smarta lösningar för riskanalys och automatiserad hotidentifiering kan inte bara minimera risken för attacker, utan även skapa en konkurrensfördel genom ökad tillförlitlighet och snabbare reaktionsförmåga.
Lagstiftarnas roll i framtiden
En annan avgörande faktor för att lyckas säkra framtidens leveranskedjor är hur lagstiftare och myndigheter väljer att agera. USA:s ”Cybersecurity Improvement Act” och EU:s NIS2-direktiv är exempel på hur regleringar börjar täcka upp för det ökande behovet av säkerhet i infrastrukturen.
Men regleringar är bara en del av lösningen. Vi behöver också få till ett bättre, och mer självklart, samarbete över gränserna när det handlar om att dela information om hot och incidenter. I det gemensamma arbetet behöver vi även skapa en kultur där cybersäkerhet är en självklar del av affärsstrategin.
Avslutande ord: Det är dags att ta säkerheten på allvar
Att säkra sin egen infrastruktur, och IT/OT miljöer hos övriga parter i kedjan, är inte längre en fråga om konkurrenskraft – det är en fråga om överlevnad. I en tid där cyberhoten växer och nya regler skärps är det kritiskt att företag ser över sina strategier och arbetar nära sina leverantörer för att minimera riskerna.
För de som lyckas kommer det att finnas stora möjligheter till tillväxt och framgång.
För de som misslyckas väntar risken för allvarliga angrepp och förlorad trovärdighet.
Det är dags att vi tar debatten om säkerhet i leveranskedjan på allvar – framtidens affärer står på spel. Och visst vill vi väl alla tillhöra den skaran som lyckas?