Qantas databrud: Hvorfor leverandørtilsyn skal være en prioritet for compliance

Af Nicholas Fearn • 4 September 2025

Et nyligt Qantas-databrud, der kompromitterede personlige oplysninger for 5.7 millioner kunder, har fremhævet den vedvarende cybersikkerhedsrisiko, som tredjepartsudbydere udgør for virksomheder. Hændelsen, der fandt sted i juni, afslørede data som navne, fødselsdatoer, telefonnumre, e-mails og oplysninger fra kundernes Qantas Frequent Flyer-loyalitetsprogramkonti. Finansielle oplysninger, pasoplysninger og adgangskoder blev dog ikke påvirket.

Men i stedet for at bryde det australske flyselskabs interne IT-systemer, stjal gerningsmændene bag bruddet disse oplysninger ved at narre et tredjeparts offshore kontaktcenter til at tro, at de var Qantas-medarbejdere, der skulle nulstille multifaktor-godkendelsesoplysninger. Efter at disse afgørende sikkerhedsoplysninger var blevet ændret, fik hackerne uautoriseret adgang til en outsourcet cloudplatform, der indeholdt Qantas' kundedatabaser.

Det menes, at cyberkriminalitetsgruppen Scattered Spider, hvis hackere er spredt over hele USA og Storbritannien, stod bag hackingen. FBI har siden advarede at gruppen i stigende grad lancerer social engineering-angreb på globale flyselskaber. Dette kommer i takt med at forskning fra cyberforsikringsselskabet Cowbell viser, at angreb på softwareforsyningskæden har øget med 431 % i de seneste fire år. Med dette i tankerne, hvad kan virksomheder gøre for at sikre deres forsyningskæder og forhindre hændelser som Qantas-bruddet?

Vigtige lektioner at lære

En af de største lærdomme fra Qantas-cyberbruddet er, at selvom multifaktor-godkendelse er designet til at fungere som et ekstra lag af sikkerhed, hvilket gør det sværere for cyberkriminelle at hacke sig ind på konti, er det ikke fuldstændig uigennemtrængeligt. Det siger Jake Moore, global cybersikkerhedsrådgiver hos antivirusproducenten ESET, der siger, at ondsindede mennesker er i stand til at hacke "selv de bedste forsvar".

En anden lektie fra Moore er, at virksomheder bør indse, at deres forsyningskæder rummer "uundgåelige svagheder", som er lette for hackere at udnytte, som f.eks. blot at udgive sig for at være ægte medarbejdere, og som kan "tage en hel del skade i deres kølvand".

Denne holdning deles af Vijay Dilwale, ledende konsulent hos udbyderen af applikationssikkerhedssoftware Black Duck. Han argumenterer for, at selvom virksomheder har robuste cyberbeskyttelser på plads, er de i bund og grund ubrugelige, hvis de leverandører, som virksomhederne er afhængige af, ikke er lige så opmærksomme på cybersikkerhed. Han fortæller ISMS.online: "Qantas' kernesystemer blev ikke brudt, men millioner af optegnelser endte stadig i de forkerte hænder på grund af et hul hos en tredjepart."

Dilwale siger, at når personlige oplysninger brydes på denne måde, kan det resultere i "alvorlige" konsekvenser for virksomheder. Disse inkluderer svækket kundetillid, bøder fra myndighederne og nyhedsartikler, der placerer skylden på både virksomheden og leverandøren, selvom førstnævnte ikke er skyld i det. Han tilføjer: "I dagens digitale verden eksisterer den traditionelle perimeter ikke rigtigt. Hver leverandør, hver outsourcingudbyder, hver SaaS-platform er en del af din angrebsflade."

Overholdelsesmæssige konsekvenser

I betragtning af at forbedrede cybersikkerhedsbeskyttelser, såsom MFA (Multi-Facilitated Facilities - MFA), alene ikke er nok til at beskytte organisationer mod ødelæggende datalækager, mens antallet af angreb i forsyningskæden fortsætter med at vokse, er det tydeligvis nødvendigt for organisationer at gøre mere.

For Dilwale fra Black Duck betyder det at behandle risikovurdering af leverandører som en løbende øvelse snarere end en enkeltstående aktivitet med afkrydsningsfelter, når nye leverandører onboardes. Udover omhyggelig screening af tredjepartsleverandører siger han, at organisationer løbende skal overvåge de cyberrisici, som leverandører udgør, og i formelle kontrakter fastsætte, at leverandører tager cybersikkerhed alvorligt. I disse bør organisationer få leverandørerne til at acceptere cybersikkerhedsrevisioner og hændelsesmeddelelser.

Men disse bestræbelser handler ikke kun om at beskytte ansigt – de er også en lovpligtig forpligtelse. Dilwale forklarer, at de australske privatlivsprincipper i Australien forpligter virksomheder til at rapportere enhver form for cyberbrud. Samtidig understreger branchestandarder som ISO 27001 vigtigheden af risikostyring i forsyningskæden. Han tilføjer: "Budskabet er klart: tilsyn med dine leverandører er ikke længere valgfrit."

Når det kommer til at håndtere disse risici, anbefaler Dilwale, at organisationer implementerer et informationssikkerhedsstyringssystem (ISMS), da det giver dem mulighed for at overvåge og identificere sårbarheder i forsyningskæden i alle faser af et leverandørforhold, fra onboarding til offboarding.

"Du kan sikre dig, at revisioner ikke bare planlægges, men faktisk følges op med afhjælpning. Du kan opbygge et komplet billede af din udvidede forsyningskæde, så du ikke går glip af disse fjerdepartsforbindelser," siger han. "Og du kan inkludere leverandører i dine øvelser til håndtering af hændelser, så når noget går galt, ved I allerede, hvordan I skal reagere sammen."

Udover at bruge et ISMS, er Michael Tigges, senior sikkerhedsoperationsanalytiker hos enterprise cybersecurity platform Huntress, opfordrer organisationer til at udvikle dedikerede rammer ved hjælp af standarder som ISO 27001, overvåge og revidere deres leverandører regelmæssigt som en del af "klare" serviceniveauaftaler, være transparente omkring dataflytning og investere i detektions- og responssystemer.

Andre trin

Leverandørsundhedstjek er et andet afgørende skridt i at eliminere sikkerhedsrisici i forsyningskæden, ifølge Tigges fra Huntress. De bør dække områder som tilstrækkelig adgangskontrol, multifaktorgodkendelse, hændelseslogfiler og hændelsessimuleringer.

Som en del af disse bestræbelser opfordrer han virksomheder til at udføre cybersikkerhedsøvelser på et fysisk plan, hvor de gennemgår et realistisk cyberangreb og vurderer, hvordan deres team reagerer, for at identificere og lukke sikkerhedshuller. Tredjepartsleverandører kan også inkluderes i disse.

Tigges understreger også vigtigheden af effektiv interessentstyring. Han fortæller ISMS.online: "Start med at have realistiske samtaler; hvad håber vi at opnå her, hvilke risici kan vi tolerere, og hvor kan vi styrke vores forsvar på andre måder for at hjælpe med at afbøde denne risiko?"

Ross Brewer, vicepræsident for EMEA hos logstyrings- og sikkerhedsanalysefirmaet Graylog, er enig i, at organisationer bør tage højde for risici i forsyningskæden i deres cybersikkerhedsøvelser. Dette vil give dem mulighed for at "teste procedurer for detektion, eskalering og respons" i deres organisation.

Looking Ahead

Da cyberangreb i forsyningskæden ikke viser tegn på at aftage, mener Moore fra ESET, at organisationer ikke vil have andet valg end at gøre sikkerhedsvurderinger af leverandører til en vigtig del af deres ledelsesstruktur fremadrettet. Det betyder, at tredjepartsleverandører skal behandles "som en forlængelse af organisationen" med "samme ansvarlighed" for at sikre overlevelse i et hurtigt udviklende regulatorisk landskab.

Fordi så mange virksomheder nu outsourcer forskellige dele af deres organisationer til tredjepartsleverandører, siger Dilwale fra Black Duck, at de er nødt til at betragte leverandørernes sikkerhedssituation med samme vigtighed som deres egen. Han fortsætter: "Forsyningskædesikkerhed kan ikke indbygges som en eftertanke; det skal integreres i ledelsen, da ansvarlighed og compliance er kernekrav for at drive forretning."

På lang sigt siger Tigges fra Hunttress, at virksomheder og deres leverandører bliver nødt til at være "transparente og sammenhængende" i deres cybersikkerheds- og datahåndteringspraksis på grund af følsomheden af de oplysninger, der deles. Han konkluderer: "Organisationens omdømme og individuelle data står på spil, og alle personer, der håndterer disse data, er interessenter i denne proces."

Selvom Qantas' cyberangreb ikke skyldtes cybersikkerhedsforsømmelse fra det australske flyselskabs side, kunne hændelsen have været forhindret, hvis flyselskabet havde haft stærkere sikkerhedspraksis i forsyningskæden på plads. For andre organisationer giver det en værdifuld lektie: at dine leverandørers sikkerhed er lige så vigtig som din egen. Dette bør styrkes i omfattende leverandørkontrakter, regelmæssige sundhedstjek af forsyningskæden og cybersikkerhedsøvelser, der tager højde for sikkerhedsrisici i forsyningskæden.

Nicholas Fearn

Nicholas Fearn er freelancejournalist fra de walisiske dale. Han har skrevet for store medier som Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost og Insider, samt B2B-publikationer som Computer Weekly, Computing og IT Pro. Når Nic ikke skriver om de nyeste gadgets og teknologitrends, lytter han sikkert til hele Mariah Careys diskografi.

Læs mere fra Nicholas Fearn

Cyber sikkerhed 8 januar 2026

Compliance-æraen: Hvordan regulering, teknologi og risiko omskriver forretningsnormer

Overholdelse af regler er ikke det mest glamourøse i de fleste virksomhedslederes øjne. De ser det måske som en nødvendighed for at undgå regulatorisk pres, men alligevel...

Nicholas Fearn

Cyber sikkerhed 27. November 2025

Hvordan højprofilerede cyberhændelser demonstrerer den reelle forretningsmæssige indvirkning af sårbarheder i forsyningskæden

Cyberangreb skaber kaos i virksomheder. De kan sætte virksomheders drift i stå, dræne deres kasser og undergrave kundernes tillid. Ofte...

Nicholas Fearn

Cyber sikkerhed 16 juli 2025

Hvad øgede forsvarsudgifter betyder for cybersikkerhedssektoren

I takt med at de geopolitiske spændinger fortsætter med at stige globalt, har der i 2025 været en dramatisk stigning i forsvarsudgifterne, som ikke er set siden den kolde krig. I de seneste ...

Nicholas Fearn