Angrepet kan starte hos noen andre – selv om din bedrift er målet

Mann i serverrom snakker i telefonen

Bedriftens svakeste ledd kan være inngangsdøren til bedriftens mest sensitive data. Men hva gjør du når dette svake leddet ligger utenfor selve bedriften – for eksempel hos en underleverandør?

Moderne kriminelle kjenner ingen landegrenser. Der verdier kan hentes, vil det garantert også dukke opp trusselaktører som jakter på disse verdiene. Dette gjelder alt fra «rørleggeren på hjørnet» og virksomheter som leverer til større kunder i en lang leveransekjede – og helt opp til store multinasjonale konsern.

I takt med at bedrifter i økende grad belager seg på systemer, tjenester og ressurser levert via andre, har leveransekjedene blitt lengre og mer uoversiktlige.

Med det øker også den potensielle angrepsflaten i omfang, påpeker sikkerhetsdirektør i Telenor Norge, Hanne Tangen Nilsen i sikkerhetsrapporten Digital Sikkerhet 2020:

– Kjeden av underleverandører er ofte lang og kompleks og vanskelig å verifisere. Få vet om alle underleverandører som er involverte. Det krever mye av alle som jobber for å beskytte Norge.

Selv om din bedrift har stålkontroll på egne systemer, kan situasjonen være en helt annen hos en av dine underleverandører. For en trusselaktør kan denne underleverandøren raskt vise seg å være en effektiv vei inn til målet – nemlig din bedrift.

Sikring av informasjon

Der man tradisjonelt har sett for seg digital sikkerhet som å sikre maskiner, er det nå derfor mer hensiktsmessig å fokusere på å sikre informasjonen som finnes på maskiner og systemer.

Trusselaktørene er ute etter å oppnå en konsekvens – enten det er snakk om økonomisk gevinst eller noe helt annet – og digital sikkerhet handler om å gjøre det vanskelig for aktørene å lykkes medå oppnå dette målet. Dermed må det på plass sikkerhet i alle ledd av leverandørkjeden. Denne må deretter kontrolleres – og følges opp.

«Bak nærmest enhver leveranse finnes et stadig mer fragmentert, komplekst, langstrakt og – dessverre – stadig mindre transparent nett av del- og underleveranser. Slik forblir det nok i overskuelig fremtid.»

– Når nettene blir lange, Digital Sikkerhet 2020

Lange linjer

Grepene du kan ta

Store og komplekse angrepsflater gjør selv de største teknologiselskapene i verden sårbare for angrep – spesielt ettersom disse gjerne utføres av aktører med ubegrensede ressurser og kapasiteter.

For å gjøre det vanskelig for disse å lykkes, er det viktig å konsentrere seg om å forstå aktørene, hva de vil og hvordan de opererer – for så å sette inn beskyttelsestiltak.

Om noen likevel skulle trenge gjennom forsvarsverkene, er det heldigvis grep man kan ta for å minimere konsekvensene – samt for å gjøre risikoen for vellykkede angrep på leveransekjedene så liten som mulig.

Forståelse først, deretter tiltak

Forståelse og oversikt er det første steget for å sikre sin egen bedrift mot vellykket ondsinnet aktivitet. Å ha kunnskap om hvert eneste ledd i din leveransekjede i detalj er ikke noen lett oppgave, men enkelte ting lønner det seg å ha kunnskap om.

Du må kjenne din bedrifts – og dine samarbeidspartneres – verdier. Samtidig må du ha kunnskap om og stille krav til dine leverandørers sikkerhetsnivå. Da kan du lettere danne deg et bilde av hva trusselaktørene mest sannsynlig ønsker å oppnå, og kan dermed med større sannsynlighet sikre deg slik at du gjør det vanskeligst mulig for trusselaktørene å lykkes.

Men vær obs: ondsinnede aktører kan være ute etter helt andre ting fra bedriften, enn hva dere selv ser på som bedriftens viktigste verdier

Ni viktige punkter

Med denne forståelsen i bunn, er det flere tiltak man kan og bør treffe for å sørge for å herde leveransekjedene.

Telenor Norge har oppsummert det aller viktigste i ni punkter, som du kan lese mer om i sikkerhetsrapporten Digital Sikkerhet 2020:

1.     Forstå verdiene, for deg, for dine kunder og for relevante trusselaktører.

2.     Forstå og plasser ansvar, og forankre ansvar og risiko på strategisk nivå.

3.     Forstå leveransekjedene, og krev innsyn i dem.

4.     Still risikobaserte krav, still krav om videreføring i leveransekjeden og utøv kontroll.

5.     Finn rett balanse mellom kontroll av leverandør, underleverandør og mottatt leveranse.

6.     Gi positive kommersielle insentiver for god sikkerhet og god samhandling om sikkerhet.

7.     Søk å forkorte leveransekjedene og redusere behovet for å eksponere verdier til dem.

8.     Rust deg for å håndtere leveransekjede-angrep – separer og segmenter der du kan.

9.     Sikre nødvendig egenkompetanse, evne og kapasitet til å forstå, vurdere og validere, herunder sikkerhetstester, leverandører og leveranser.

Ønsker du å vite mer om hvordan Telenor kan hjelpe til med å sikre din bedrift?

Ta kontakt med oss for å avtale en uforpliktende samtale

Kontakt oss nå!