Hvad har Marks & Spencer og Jaguar Land Rover (JLR) til fælles? De blev begge udsat for betydelige ransomware-angreb i år, efter at trusselsaktører havde målrettet leverandører. I tilfældet med M&S menes det at have været en Tata-entreprenørs bærbare computer. For JLR, det var en infostjæler der var rettet mod en LG Electronics-medarbejder med adgang til bilproducentens netværk.
Begge fremhæver den voksende trussel mod organisationer, som ofte uigennemsigtige og skrøbelige afhængigheder i forsyningskæder udgør. Udfordringen vil uden tvivl kun intensiveres, efterhånden som en ny global handelskrig tvinger virksomheder til hurtigt at omstrukturere forsyningskæder med begrænset tid til at undersøge nye partnere. Som ny forskning viser, er der meget at rette op på.
Et problem i to dele
Ifølge World Economic Forum (WEF) identificerer over halvdelen (54%) af globale organisationer udfordringer i forsyningskæden som deres største barriere for at opnå cyberrobusthed. "Forsyningskædernes stigende kompleksitet kombineret med manglende synlighed og tilsyn med leverandørernes sikkerhedsniveauer er blevet den største cybersikkerhedsrisiko for organisationer," hedder det. rapport noter.
Udfordringen med forsyningskædens sikkerhed kommer i to dele:
- Software, der introducerer malware eller sårbarheder i betroede miljøer. Open source-komponenter er særligt skyldige her, da de ofte ikke er korrekt dokumenteret, hvilket fører til sikkerhedsproblemer. hændelser som Log4ShellMen de er ikke den eneste risiko. Proprietær software som f.eks. Flyt det og GoAnywhere har også tidligere været mål for zero-day-angreb i forbindelse med storstilet datatyveri og afpresningskampagner, der har påvirket millioner af downstream-kunder.
- En kompromitteret forsyningskædepartner – såsom en MSP, en SaaS-udbyder eller et professionelt servicefirma – kan skabe betydelige sikkerhedsrisici. Modstandere kan muligvis få direkte adgang til en organisations data, hvis de er gemt af partneren, eller få logins til organisationens netværks-/cloud-konti via leverandøren. De kan også målrette leverandører med ransomware, hvilket kan have en ødelæggende indvirkning på hele forsyningskæden, ifølge Synnovis NHS-angreb.
Desværre fremhæver to nyligt offentliggjorte rapporter de vedvarende udfordringer ved at mindske risiko i forsyningskæden. LevelBlue-studie finder, at ud af organisationer, der siger, at de har "meget lav synlighed" i softwareforsyningskæden, har 80 % oplevet et sikkerhedsbrud inden for de seneste 12 måneder. Til sammenligning har kun 6 % hævdet at have "meget høj synlighed".
særskilt, Risikostyringsrapporter at næsten halvdelen (46%) af britiske organisationer har oplevet mindst to cybersikkerhedshændelser i deres forsyningskæde i løbet af det seneste år. Rapporten afslører også, at 90% af respondenterne ser cyberhændelser i forsyningskæden som en af de største bekymringer for 2025, og kun to femtedele (37%) beskriver deres tredjepartsrisikostyring som "meget effektiv".
Regulatorer ønsker handling
Ifølge LevelBlue har administrerende direktører en tendens til at være mere bekymrede over risiko i forsyningskæden end deres kolleger i C-suiten, hvor 40% angiver det som den største sikkerhedsrisiko i organisationen, mod langt færre IT-chefer (29%) og CTO'er (27%). Det vil formodentlig betyde ekstra pres ovenfra på IT-chefer og deres teams. Men sandheden er, at de allerede er under ekstremt pres for at overholde en ny række regler, der er rettet mod leverandørrisiko. Disse omfatter:
DORA: Blandt andet kræver DORA, at finansielle enheder håndterer risikoen for tredjeparts-IT-leverandører som en integreret del af den samlede IT-risikostyring, der overvåges af bestyrelsen. De skal også føre et detaljeret, opdateret register over oplysninger om alle kontrakter med disse leverandører og udføre grundig due diligence på nye leverandører.
2 NIS: Kræver, at alle omfattede organisationer har politikker for risikostyring i forsyningskæden på plads og vurderer "sårbarheder specifikke for hver direkte leverandør og tjenesteudbyder". Ledende direktører og ledere er direkte ansvarlige for at føre tilsyn med dette.
Lovforslag om cybersikkerhed og modstandsdygtighed: Storbritanniens opdatering af NIS vil kræve, at regulerede organisationer blandt andet vurderer og styrker leverandørrelationer, implementerer robust risikostyring med tredjeparter og skriver sikkerhedsforventninger ind i kontrakter.
At handle
LevelBlues chefevangelist, Theresa Lanowitz, argumenterer for, at når det kommer til softwareforsyningskæden, skal synlighed prioriteres – "især i takt med at forsyningskæderne vokser i størrelse og kompleksitet, og organisationer anvender flere AI-drevne løsninger".
Hun fortæller ISMS.online: "CISO'er bør fokusere på fire nøglehandlinger: udnytte C-suite-bevidsthed til at sikre ressourcer, tilpasse internt for at identificere de største sårbarheder, investere i proaktive sikkerhedsforanstaltninger og regelmæssigt vurdere leverandørernes cybersikkerhedspraksis. Denne afbalancerede, proaktive tilgang vil styrke synlighed, beredskab og ansvarlighed på tværs af forsyningskæden."
Risk Ledgers chefstrateg for cybersikkerhed, Justin Kuruvilla, fortæller ISMS.online, at organisationer skal anlægge en "antage brud"-tankegang og udforme deres sikkerhedsinfrastruktur, så den inddæmmer og begrænser enhver ondsindet aktivitet.
"Det er derfor vigtigt at få indsigt i relationer med tredjeparter, fjerdeparter og endda n'teparter. Dette bredere overblik hjælper sikkerhedsledere med at opbygge en mere præcis forståelse af deres eksponering og prioritere afbødende indsatser, hvor de betyder mest," tilføjer han.
Kuruvilla argumenterer for, at softwareforsyningskæder kræver særlig granskning i betragtning af den potentielle indvirkning af sårbarheder i udbredt kode.
"Organisationer bør forvente, at leverandører anvender sikre udviklingspraksisser, der er i overensstemmelse med branchens anerkendte rammer," tilføjer han. "Graden af due diligence kan variere afhængigt af leverandørens kritiske karakter og organisationens risikovillighed. Men den bør omfatte elementer af sikker softwareudvikling, såsom CI/CD-praksisser, sårbarhedsstyring og udarbejdelse af en softwareliste (SBoM)."
Hvordan ISO 27001 kan hjælpe
LevelBlues Lanowitz argumenterer for, at bedste praksis-standarder som ISO 27001 kan danne et nyttigt fundament for at bygge bedre forsyningskædesikkerhed.
"I takt med at organisationer kæmper med fragmenteret risikosynlighed og inkonsekvente praksisser, kan ISO 27001 hjælpe med at forenkle og forenkle compliance-indsatsen på tværs af regioner og sektorer. Ved at udnytte standarden kan IT-chefer følge en struktureret tilgang til risikostyring og løbende forbedringer," tilføjer hun.
"Med mange regler, der deler de samme bedste praksisser – herunder risikovurderinger, adgangskontrol, leverandørgodkendelse og planlægning af hændelser – kan implementering af ISO 27001 også reducere redundans i forbindelse med overholdelse af regler."
Risk Ledgers Kuruvilla er enig, selvom han advarer mod overholdelse af "afkrydsningsfelter".
I stedet opnår organisationer, der prioriterer en robust, risikobaseret tilgang til håndtering af cyberrisici, typisk compliance som et naturligt resultat, konkluderer han.
