Svårt att skydda sig mot attacker som sker via underleverantörer

maj 6, 2021 june_holycomms

Frågan om supply chain-cybersäkerhet har fått ett stort fokus under den senaste tiden, efter ett uppmärksammat intrång i USA mot en stor leverantör till företag och myndigheter.
Cyberattacker som sker via underleverantörer eller i leverantörsleden är svåra att skydda sig mot, men som företag eller organisation finns det många åtgärder man kan vidta, enligt cybersäkerhetskonsulten Jonas Lejon.

I januari i år skedde ett intrång mot det amerikanska företaget SolarWinds. Då företaget är en leverantör av mjukvara till många organisationer gjorde intrånget att ett stort antal myndigheter och företag drabbades.

– Vi som arbetar inom cybersäkerhetsbranschen har under flera år pratat om vikten av att kontrollera och ställa krav på sina underleverantörer, och vikten av att ha en säker leverantörskedja. Så det här kommer inte som en blixt från klar himmel, säger Jonas Lejon.

Jonas Lejon, som är en oberoende cybersäkerhetskonsult, har grundat och är VD för IT-säkerhetsföretaget Triop AB. Tidigare har han bland annat arbetat med cybersäkerhet inom försvaret.

“Stora kunskapsluckor”

Cyberattacker som sker via underleverantörer har blivit allt vanligare.
– Grundproblematiken är att man köper produkter och system, litar blint på dem och använder dem i sin organisation. Det finns väldigt stora kunskapsluckor inom området och många företag blir tagna på sängen när det sker, då de inte har räknat med det i sin riskkalkyl, säger Jonas Lejon.

När man talar om attacker mot IT-system så är det ett väldigt brett begrepp. Det kan röra sig om allt från en pulsklocka till tusentals olika datorer som attackeras, betonar Jonas Lejon.
– Därför finns det inte heller en enda enkel lösning på problemet med säkerheten. Det räcker inte att göra en sak, man måste göra många olika saker, säger han och fortsätter:
– Det handlar om allt från att ställa krav när man köper grejerna, till att underhålla och övervaka systemet över tid. Man måste även se till att ingen information lämnas kvar när man avyttrar och gör sig av med systemet.

Med rätt åtgärder minskar risken

Att skydda sig mot just supply chain-attacker är extra svårt, då de flesta inte har en enda leverantör, utan en kombination av flera olika leverantörer, som i sin tur är beroende av sina egna underleverantörer.

Men det finns många saker man kan göra för att minska risken för attacker. Jonas Lejon listar de viktigaste:
– Det mest grundläggande är att ha processer och rutiner på plats, där man tänker igenom hela livscykeln och ställer krav på leverantörerna. Man ska ha koll på sina prylar, både hårdvaran och mjukvaran, man ska helt enkelt veta vad man köper och vad man har i sitt system.

Ett annat tips är att isolera och avgränsa, så att produkter och system har så låga behörigheter som möjligt och endast tillgång till den information som behövs för att utföra uppgiften. Jonas Lejon förespråkar också att man ska öva på olika krisscenarion och incidenter som kan inträffa, och se till att ha tydliga rutiner för vad man ska göra om det sker.
– Jag brukar säga att frågan inte är om man kommer att bli hackad, utan när, avslutar Jonas Lejon.