Forbrugere ser ofte de fleste cyberangreb som noget, der sker for andre mennesker, indtil det påvirker dem direkte. Tyveri af e-mailadresser og andre personlige oplysninger er blevet en regelmæssig og hverdagsagtig begivenhed, men når en kriminel trykker på en knap halvvejs rundt om jorden, og mad forsvinder fra hylderne, bliver tingene pludselig virkelige.
Det var, hvad der skete i juni, da et angreb på engrosdistributøren af dagligvarer, United Natural Foods (UNFI), bragte dens onlineaktiviteter til ophør. Angrebet hindrede virksomhedens evne til at betjene sine 30,000 lokationer og efterlod dagligvarebutikkerne advarer kunder om fødevaremangel og forårsagede betydelige forstyrrelser hos Amazon-ejede Whole Foods, herunder lukningen af sandwichstationer.
Angreb som disse fremhæver den skade, som en cyberhændelse kan forårsage for driften ud over en enkelt virksomhed. Disse forstyrrelser kan påvirke andre, der er afhængige af den som en del af deres egne forsyningskæder, og det rejser spørgsmålet: Hvad kan organisationer gøre for at beskytte sig selv?
Cyberrisiko i forsyningskæden når kriseniveau
Dette er ikke det første angreb, vi har set, der har forstyrret forsyningskæder. Forsikringsselskabet Cowbell har offentliggjort en indberette sidst på året viste en stigning på 431% i angreb i forsyningskæden siden 2021.
Ifølge rapporten bliver sådanne angreb mere almindelige i takt med at forretningsdrift bliver mere og mere forbundet, og forsyningskæder bliver mere komplekse, fordi det gør dem vanskeligere at sikre.
En af de største udfordringer, organisationer står over for, er problemet med enkeltstående fejl (single point of failure); en enkelt virksomhed, som mange andre er afhængige af for produkter og tjenester, er et værdifuldt mål. At kompromittere den succesfuldt forstærker virkningerne af et enkelt angreb.
Forstyrrelser fra angreb i forsyningskæden kan være rent digitale. Kompromitteringen af SolarWinds-softwaren i 2020 gjorde hundredvis af systemer hos virksomhedens kunder sårbare over for informationstyveri. Udnyttelsen af en sårbarhed i den lokale version af MOVEit-fildelingssystemet i 2023 gjorde det muligt for angribere at stjæle filer fra hundredvis af virksomhedens kunder. Begge havde den samme underliggende egenskab: toksiner i et digitalt produkt (en bevidst introduceret, en ved et uheld kodet ind) påvirkede tusindvis af kunder downstream.
Andre cyberangreb, som f.eks. UNFI-hacket, fører til fysiske problemer. De fremhæver skrøbeligheden i moderne just-in-time-forsyningskæder, hvilket ikke blot gør dem til en trussel mod kundedata, men også til en samfundsmæssig risiko.
Bemærkelsesværdige hændelser i fortiden, der har påvirket fysiske forsyningskæder, omfatter angrebet på Colonial Pipeline i 2021. Selvom det var rettet mod virksomhedens administrative netværk, lukkede det af forsigtighed sin benzinleveringsoperation, hvilket skabte mangler, der ramte millioner.
Samme år ramte et ransomware-angreb på leverandøren af fjernstyringssoftware, Kaseya, kunder, der leverede administrerede IT-tjenester. Dette smittede af på kunder, herunder den svenske dagligvarekæde Coop, som måtte lukke 800 butikker. Disse angreb var stadig digitale, men slutresultaterne var kinetiske; i stedet for at få deres data eksponeret, kunne folk ikke køre bil eller spise.
Dette kræver en reaktion på bestyrelsesniveau
Risici i forsyningskæden introducerer nye krav til bestyrelsers ledelse, især i takt med at regulatorer begynder at presse på for problemet. For eksempel EU's lov om digital operationel modstandsdygtighed (DORA) stiller adskillige krav til finansielle servicevirksomheder. Det pålægger strenge due diligence-krav i samarbejde med teknologi- og serviceudbydere, samt minimumskrav til sikkerhed i kontrakter. Aftaler med leverandører skal også indeholde løbende vurderingsforpligtelser, der pålægger periodiske cybersikkerhedsvurderinger af leverandører.
Direktivet om net- og informationssikkerhed 2 (NIS2)-direktivet pålægger også strengere sikkerhedskrav til forsyningskæder.
Ifølge Gartner vil fagfolk i forsyningskæden i stigende grad se på cybersikkerhedsrisiko som en vigtig faktor, når de engagerer tredjepartspartnere. forventer 60% af dem gør det i år.
Disse bekymringer gør leverandørrisikostyring til en afgørende del af enhver strategi for robusthed i forsyningskæden. Effektiv due diligence betyder at kontrollere, at leverandører har sikkerhedsforanstaltninger på plads. Virksomheder, der ikke har påbudt due diligence, gør klogt i at gennemgå alle deres leverandører, ideelt set kontrollere for akkreditering i henhold til relevante cybersikkerhedsrammer eller -standarder. Disse kan være branchespecifikke.
Selv efter alt dette kan angreb stadig forekomme. At have leverandører, der består prøven, på en liste over foretrukne leverandører vil hjælpe med at minimere risikoen for, at din forsyningskæde bliver forstyrret på grund af kompromittering; det vil dog ikke helt fjerne denne risiko. Derfor er det vigtigt at planlægge potentielle forstyrrelser.
Ikke bare forebygge, tilpas
Afhængigt af typen af kompromittering kan en strategi for håndtering af angreb i forsyningskæden udelukkende fokusere på logistik og drift, eller den kan omfatte digital genopretning. Hvis en dagligvareleverandør går ned, fordi deres system er kompromitteret, bliver deres digitale problem deres kunders fysiske problem. Derefter er fokus for downstream-leverandører på at fortsætte strømmen af varer til deres hylder.
Hvis din netværksudbyder derimod ved et uheld downloader malware til en af dine servere, bliver deres digitale problem dit digitale problem. Det kræver en anden reaktion.
ISO-standarder dækker forberedelse til disse scenarier. For eksempel omhandler ISO 22301 forretningskontinuitet i lyset af risici i forsyningskæden. ISO 27001 indeholder kontroller, der hjælper med at håndtere informationsrisici, der kan påvirke dig via kompromittering af forsyningskæden. ISO 28000 omhandler forbedring af sikkerheden i forsyningskæden.
At håndtere denne komplekse, mangesidede risiko i forsyningskæden betyder, at man skal implementere så mange forebyggende kontroller som muligt for at beskytte sig selv ved at vælge omhyggelige leverandører. Men det betyder også, at man skal tilpasse sig nye problemer i stedet for at stole på deres forebyggelse.
