Multi-leverandør innkjøpsstrategi vises ofte til som risikoreduserende tiltak i forhold til leveranserisiko, og fra et operasjonelt kontinuitetsperspektiv kan effekten fremstå åpenbar; svikter den ene, kan virksomheten fortsatt få leveranser fra den andre. Fra et sikkerhetsperspektiv er det imidlertid et tveegget sverd. Dobling av leverandører på et område kan medføre en dobling av den relaterte angrepsflaten. Multiple leverandører på et leveranseområde vil i mange tilfeller gi økt kompleksitet, noe som i seg selv har negativ innvirkning på sikkerheten. På den annen side kan multiple leverandører på et leveranseområde gi økt handlefrihet til å raskt sjalte ut den ene leverandøren ved (alvorlig mistanke om) sikkerhetshendelser hos denne, eller i leveransekjeden bak.

Operasjonelle og sikkerhetsmessige fordeler og ulemper ved multiple leverandører på et leveranseområde, kan altså ha netto gevinster, men må vurderes nøye opp mot den aktuelle leveransen.

Bevisst oppdeling av leveranse mellom multiple leverandører kan gi relevant risikoreduksjon på flere vis; blant annet fordi det understøtter minimering av tilgangs- og informasjonsbehovet hos den enkelte leverandør, samt understøtter segregering og segmentering. Dette er velprøvd metodikk fra organisasjoner med stort behov og fokus på konfidensialitet; der få gis brede tilganger og mulighet til å forstå helheten. Dette er ikke bare relevant for nasjonale sikkerhetsinteresser, men også for høyverdig forretningskritisk informasjon som patenter. I forhold til leveransekjeder kan også integritetsperspektivet være svært sentralt, men også der vil slik leverandør- og leveransesegmentering kunne gi effekt.

Vi har tidligere vært inne på behov for kompetanse og kapasitet til blant annet kravstilling og kontroll. Den store IT-outsourcingbølgen ga mange virksomheter dyrekjøpt erfaring gjennom å undervurdere ressursbehovet til dette og kompetent betjening av leverandørgrensesnittet.

De samme effektene vil nødvendigvis øke – om man skal tilstrebe oppfølging og kontroll for

å fortsatt holde risikoen nede – når leveransekjedenes omfang, kompleksitet og dybde øker. Selv om det ikke kan kompenseres med krav-, kontroll- og oppfølgingskapasitet alene, bør dette økende ressursbehovet for risikobegrensing veies mot alternativ ressursbruk – for eksempel ved å beholde flere risikobærende aktiviteter under direkte kontroll i egen virksomhet.

Kompetanse og kapasitet – og hjemler man måtte ha skaffet seg til å utøve kontroll – kan komme til kort uten verktøy. Administrative verktøy som understøtter styringssystem for leverandøroppfølging, med systematisering av observasjoner, rapportering, kontroll og annen oppfatning er verdifullt og i økende grad nødvendig etter hvert som man skaffer seg innsikt og begynner å agere aktivt mot en gradvis større del av underleverandørene som identifiseres å bidra til sikkerhetskritiske leveranser.

Blant tekniske verktøy kan flere typer ha relevans. Enten virksomheten har særskilt avtalefestet adgang til inngående sårbarhetsscanning eller ikke, kan automatiserte verktøy for sårbarhetsscanning ha lovlig anvendelse også mot leverandørers og underleverandørers synlige

infrastruktur. Din egen eller din sikkerhetstjeneste-leverandørs tjeneste(r) bør kunne instrumenteres med relevante søk relatert til viktige leveranser. Både i en pre-kontraktuell fase og i en løpende leveranse, kan innplassering av virksomhetens sikkerhetsovervåkning, for eksempel sensorer, i dedikerte deler av (under)leverandørenes infrastruktur være et relevant tiltak for å styrke sikkerhetsforståelsen av leverandøren, virke avskrekkende på potensielle insidere og gi økt transparens og derved styrket evne til kontroll.

Begrepet sikkerhetstesting favner all verifikasjon av leveransens integritet og dens evne til å ivareta konfidensialitet og tilgjengelighet. Det er en svært bred verktøykasse av teknikker og tilnærminger, som spenner over både teknologi, mennesker og prosesser. Det er nødvendig å se sikkerhetstesting, som øvrige sikkerhetstiltak, i en helhetlig sammenheng på tvers av de digitale og fysiske domener.

Vi skal risse litt i overflaten av dette omfattende emnet.

Verifikasjon av sikkerhet, å uttømmende påvise at noe er «sikkert» er for de aller fleste tilfeller og virksomheter uoverstigelig, og definitivt disproporsjonalt. De fleste former for sikkerhetstesting er tids- og ressursavgrensede aktiviteter.

Sikkerhetstesting bør minimum ha som målsetning å identifisere de åpenbare feilene som de relevante trusselaktørene kan påregnes å utnytte. Husk at avanserte trusselaktører har langt større tid og ressurser, og noen ganger bedre forutsetninger, for å finne sårbarheter enn det virksomheten og dens kompetente leverandører av sikkerhetstesting kan ta seg råd til innenfor risikoproporsjonale rammer. En sikkerhetstest uten alvorlige funn betyr derfor aldri at det ikke kan finnes alvorlige sårbarheter i leveransen. Det har likevel stor verdi å finne og lukke «enkle» sårbarheter, slik at trusselaktørene tvinges til å bruke større ressurser og mer avanserte metoder.

Sikkerhetstesting må inkludere «negativ testing», altså å aktivt søke etter og prøve ut det som ikke skal være mulig. Dette krever kunnskap, fantasi og evne til å tenke som en trusselaktør, og et relevant scope – som ofte vil spenne utover og på tvers av den enkelte leveranse.

Den konkrete innretningen på sikkerhetstesting avhenger i stor grad av hva slags leveranse det er tale om (programvare, maskinvare, tjenester, mennesker) og hvordan den leveres (tjenestebasert, stilles til disposisjon; versus overlevert). Relevante former for sikkerhetstesting bør finne sted både som integrert del av leverandørens utviklingsprosess, den ferdige leveransen, ved leveransemottak og periodisk gjennom leveransens livsløp. Sistnevnte kan ta i betraktning, men bør ikke ensidig fokusere på, leveransens endringshyppighet, da også omgivelsene (teknologi, trusselaktører, anvendelsen) er omskiftelige.

Det er vår erfaring at sikkerhetstesting av mottatte leveranser også vil ha en oppdragende effekt på leverandøren. Til tross for at leveransen har kommersielle rammer som kan ha mangelfulle virkemidler for å pålegge forbedring, vil de fleste leverandører ha et genuint ønske om forbedring. Kommersielle virkemidler kan styrke forbedringsinsentivene, men av gode intensjoner koblet med en

kultur for, og strategisk ambisjon om, sikkerhetsmessig kvalitet, følger handlingsvilje. Denne fasen vil ofte synliggjøre om du valgte en leverandør som har samsvarende forståelse av trusler og risiko.

Like viktig som å stille krav nedover i leveransekjeden om relevant sikkerhetstesting, er det å verifisere den og bruke resultatene. Virksomheten bør – så langt ned i leveransekjeden det er relevant og gjennomførbart – kreve mer enn bare bekreftelse på at relevant sikkerhetstesting er/blir gjort. Det må dokumenteres hvem som har gjort testen, hva de testet, hvordan de testet, når og på hvilken versjon av leveransen testen ble gjennomført. Beskrivelse av hvilke funn som ble gjort, hvilken risiko funnene vurderes å utgjøre og sist, men ikke minst, hva som vil bli gjort med funnene må ikke være bare være statistisk oppsummering eller avgrenset til kritiske funn. Også tiltakene må dokumenteres med hvem som har utført, hva, når og hvordan. Slik transparens og verifikasjon av sikkerhetstesting og oppfølging av funn, er ikke kun en kontrollmekanisme for å sikre at adekvat sikkerhetstesting og oppfølging finner sted, men understøtter også virksomhetens risikovurdering, og setter den bedre i stand til å identifisere behov for tiltak i egen regi, herunder også tilpasning av egen sikkerhetstesting. Der kontinuerlig/hyppig sikkerhetstesting også er integrert i utviklings- eller produksjonsprosesser, kan det være relevant å kreve innsyn gjennom lesetilgang til verktøy eller rapporter.

Leveransens angrepsflate er ikke begrenset til komponenter og innsatsfaktorer som direkte inngår i den, men omfatter også den omkringliggende teknologien, prosessene og menneskene hos hver aktør i leveransekjeden. I vurderingen av behovet for og kontroll med gjennomføring av sikkerhetstesting, er det derfor vesentlig å ikke bare kreve sikkerhetstesting av leveransene, men også av teknologi og prosesser i leverandørvirksomhetene generelt.

Fra leverandørens side vil det ofte påberopes et behov for konfidensialitet om sårbarheter. Dette kan være legitimt og i alle parters interesse der leveransen allerede er tatt i bruk, det er relativt kort tid siden sårbarheten ble identifisert, sårbarheten ikke er allment kjent, sårbarheten ikke aktivt utnyttes og det er svært mange kunder som har tatt leveransen i bruk. Selv om det er lett å mistenkeliggjøre konfidensialitet om sårbarheter for å være kommersielt motivert, kan det for slike tilfeller ligge en høyst berettiget risikoavveining i forhold til skadefølger ved informasjonsdeling til grunn.

En stor del av utbyttet fra sikkerhetstesting – både virksomhetens og leverandørenes – er knyttet til leverandørenes, og leveransekjeden som helhet sin evne til rettidig sårbarhetshåndtering. Det er berettiget å gjøre en risikobasert prioritering av hvilke sårbarheter som skal fikses (først), men vi ser dessverre alt for ofte snevre eller optimistiske risikovurderinger, uriktige forutsetninger og antagelser om leveransens omgivelser og bruksscenarioer, og en avfeiing av «Low» og «Medium»

sårbarheter som kategorisk uviktige og mindre farlige. Sårbarhetshåndtering – som øvrig livsløpsforvaltning – er en sentral del av kravstilling mot leverandøren, og må være en løpende aktivitet i hele leveransekjeden som munner ut i teknologibaserte leveranser.

Noen sårbarheter, ofte i leveranser med lang utviklingssyklus, langt livsløp og av permanent karakter, for eksempel maskinvarekomponenter, vil likevel ha kjente (og ukjente) sårbarheter som ikke kan utbedres uten utskifting. Utskifting, eventuelt fremskyndet periodisk fornying, må selvsagt vurderes som tiltak, men det er dessverre slik at vi alle er vedvarende utsatt for en rekke kjente sårbarheter, uten å ha gode alternativer og muligheter til å unngå dem. De siste årenes oppslag rundt alvorlige feil i prosessorarkitekturer4 som følge av et stadig press på å levere ytelse er eksempler på dette. Disse må helt enkelt tas høyde for i måten leveransen er oppbygget og anvendt, og/eller møtes med kompenserende risikoreduserende tiltak i form av preventive og avdekkende kontroller.

Debatten om leveransekjedesikkerhet har de senere år i økende grad inkludert nasjonale sikkerhetsinteresser. Risiko for forskjellige former for medvirkning fra, eller undergraving av sikkerheten hos leverandører som opererer under andre politiske, samfunnsmessige og juridiske rammebetingelser er aktualisert.

Særlig innenfor teknologileveranser vil det alltid finnes flere sårbarheter, både observerbare og uidentifiserte, og det vil ikke være mulig å teste seg frem til en konklusjon om absolutt sikkerhet. Likeledes er det nær umulig å fastslå med sikkerhet hvorvidt en utnyttbar sårbarhet er en tilforlatelig kvalitetsbrist eller bevisst plassert av, eller på oppdrag fra, en trusselaktør.

Leverandørinnsikt (Supplier Intelligence)

Til hjelp i vurdering av de mange leverandørene som avdekkes i leveransekjede-kartlegging, finnes det et relativt rikt marked av tredjeparter som kan bistå virksomheten med vurdering av, profilering av og informasjonsinnhenting om leverandørene. Det finnes produkter som baserer seg nær utelukkende på åpen informasjon, men også produkter og tjenester hvor informasjon innhentes fra mindre tilgjengelige og til dels uklare kilder. Denne kunnskapen har verdi som underlag for risikovurdering ved leverandørvalg, og i løpende risikohåndtering etter hvert som leverandører endrer sine underleverandører, og deres risikoprofil også endrer seg.

Sikkerhets-tjenesteleverandør (MSSP)

De siste årene har gitt økt erkjennelse av leveransekjeden som angrepsvektor, både gjennom leveransene og leverandørtilganger. Leverandørens sikkerhetsnivå – blant annet i forhold til god sikkerhetsovervåkning, og derav evne til å avdekke både kompromittering av egen infrastruktur og angrep fra sine underleverandører er derfor avgjørende for kundevirksomhetens sikkerhet. For mange leverandører, spesielt de mindre, vil det imidlertid ikke være realistisk å etablere en sterk sikkerhetsovervåkning utelukkende med egne ressurser, og det kan være hensiktsmessig å stille krav om at leverandøren benytter, eller fyller ellers høye krav til sikkerhetsovervåkning ved å benytte, tjenester fra en profesjonell sikkerhets-tjenesteleverandør (MSSP).

Bistandsberedskap til hendelseshåndtering

(Incident Response Retainer)

Som for sikkerhetsovervåkning er det urealistisk for tilnærmet enhver virksomhet å forvente at leverandøren, eller virksomheten selv, skal kunne håndtere et vellykket cyberangrep med omfattende kompromittering fra en avansert trusselaktør helt på egen hånd. Det er helt vanlig å få behov for spesialistbistand til slik hendelseshåndtering, men både hvor raskt man kan få slik hjelp og hvor dyrt det blir, avhenger av om man har inngått slike bistandsavtaler på forhånd. Ved å inngå slik avtale, stille krav om dette overfor særlig leverandører med stort identifisert skadepotensiale, og rekursivt til disses underleverandører, reduseres risikoen for langvarige, omfattende – og i beste fall i det hele tatt – konsekvenser for virksomheten ved vellykket kompromittering av leverandøren.