Så kartlägger du din leverantörskedja och säkrar upp den

Detta gör leverantörskedjan till en av de mest underskattade attackytorna i dagens säkerhetsarbete. För svenska företag, inte minst små och medelstora, har beroendet av externa leverantörer vuxit snabbt de senaste åren. Affärssystem, molntjänster, integrationer, supportfunktioner, identitetstjänster och externa konsulter är i dag en självklar del av vardagen. Det skapar flexibilitet och fart. Men det innebär också att säkerheten aldrig blir starkare än i den svagaste länken i kedjan.

Det räcker inte att bara ha koll på den egna miljön

Det klassiska antagandet är att cybersäkerhetsnivån kan mätas inom den egna IT-miljön. Har vi patchat, segmenterat, infört MFA och säkrat upp våra klienter borde vi vara hemma. Problemet är att många angrepp inte följer organisationsschemat. De följer förtroendet.

När en angripare kan använda en komprometterad leverantör som språngbräda in i din miljö minskar misstänksamheten samtidigt som träffsäkerheten ökar och vägen till en faktisk påverkan kortas avsevärt. Ett mejl från en känd avsändare, en integrationspunkt som redan är godkänd eller ett externt konto med för höga behörigheter kan vara allt som krävs för att öppna dörren.

Det är därför leverantörskedjan måste ses som en förlängning av den egna miljön, inte som något som ligger utanför säkerhetsarbetet.

Börja med en kartläggning

Hur ska man då tänka kring sitt leverantörsled och cybersäkerhet. Det enkla svaret är att inte fastna i att tänka bara teknik utan också försöka att skapa dig en tydlig överblick.

Många organisationer saknar i dag en samlad bild av vilka leverantörer som faktiskt har tillgång till vad. Vilka partners har åtkomst till affärskritiska system? Vilka tredjepartstjänster hanterar känslig data? Vilka integrationer bygger verksamheten på? Var finns beroenden som skulle få stora konsekvenser om de stördes eller manipulerades?

En bra kartläggning behöver inte vara överdrivet komplicerad, men den måste vara strukturerad. I grunden behöver du exempelvis förstå:

• Vilka leverantörer ni är beroende av

• Vilka system och data de har tillgång till

• Vilken typ av behörigheter de har

• Hur kritiska de är för den dagliga driften

• Hur ett avbrott eller ett intrång hos dem skulle påverka er verksamhet

Det här arbetet ger ofta en första nyttig “reality check”. Många upptäcker snabbt att beroendena är fler, djupare och sämre dokumenterade än man trott.

Stresstesta leverantörerna, inte bara avtalen

Det räcker inte att leverantören har fina formuleringar i ett avtal eller hänvisar till en certifiering. Det säger så klart något, men långtifrån allt. Det viktiga är att förstå hur väl leverantören faktiskt klarar påfrestning, avvikelser och angrepp i praktiken.

Vi brukar rekommendera att organisationer kompletterar sina leverantörsbedömningar med mer konkreta stresstester. Det kan till exempel handla om att ställa frågor som:

• Hur ser deras incidenthantering ut i praktiken?

• Hur snabbt kan de isolera ett intrång?

• Vilka loggar sparas och hur länge?

• Hur ser deras process ut för patchning av kritiska sårbarheter?

• Vilka underleverantörer är de själva beroende av?

• Hur hanterar de privilegierade konton och externa konsultåtkomster?

• Det här är frågor som säger betydligt mer om faktisk säkerhetsmognad än en generell trygg formulering om att säkerhet är prioriterat.

Red Team och scenariobaserade övningar ger bättre svar

För verksamheter med högre krav på tillit, tillgänglighet eller regulatorisk efterlevnad finns det skäl att gå ännu längre.

Red Team-aktiviteter, penetrationstester och scenariobaserade övningar är värdefulla sätt att pröva inte bara tekniska skydd, utan också hur beroenden faktiskt fungerar under press. Det kan handla om att simulera vad som händer om en leverantör får sitt konto komprometterat, om en integrationsyta manipuleras eller om en extern partner tappar kontrollen över ett administrativt konto.

Den typen av övningar gör något viktigt: de flyttar säkerhetsarbetet från teori till verklighet. Plötsligt blir det tydligt vilka beroenden som är kritiska, var ansvaret är otydligt och vilka processer som inte håller när tiden blir knapp.

Det är först då många organisationer verkligen ser hur beroende de är av andra aktörers motståndskraft.

Ett strategiskt arbete, inte en punktinsats

Leverantörssäkerhet är inte ett projekt som blir klart. Det är i allra högsta grad ett löpande arbete och bedömning som behöver fortgå i takt med att nya tjänster köps in, gamla leverantörer byts ut, integrationer växer fram och organisationer förändras. Därför behöver arbetet med leverantörskedjan vara en återkommande del av säkerhetsstyrningen, inte något som görs en gång i samband med upphandling.

De verksamheter som lyckas bäst är sällan de som försöker kontrollera allt, utan de som lyckas skapa struktur. De vet vilka beroenden som är mest kritiska, vilka krav som måste vara uppfyllda och vilka leverantörer som behöver följas upp tätare än andra. Det är där motståndskraften börjar ta form på riktigt.

Säkerheten finns i helheten

Framtiden kommer inte att präglas av färre beroenden, färre tjänster eller enklare leverantörslandskap. Tvärtom. För de flesta verksamheter kommer komplexiteten att fortsätta öka. Det gör att den avgörande frågan inte längre bara är hur väl du skyddar dina egna system utan hur väl du förstår och styr den kedja du själv är en del av.

Den organisation som har koll på sina beroenden, vågar utmana sina leverantörer och kontinuerligt testar sin verkliga motståndskraft kommer att stå betydligt starkare när något väl händer.

Vill ni diskutera hur ni kan kartlägga och stresstesta er leverantörskedja på ett mer strukturerat sätt?

Våra experter hjälper gärna till att identifiera kritiska beroenden och bygga ett arbetssätt som håller även när omvärlden förändras.