Digital sikkerhed kræver kontrol

At have sikkerhed i sin virksomhed og sin forsyningskæde kræver kontrol og målbarhed. Selv de risici du ikke kan fjerne, kan højne dit sikkerhedsniveau, blot ved at du kender til dem, forklarer Huaweis sikkerhedschef, Kim Larsen.

Digitale døre skal holdes låst, så vigtig information bliver i virksomheden. Hvidbog fra Huawei tager netop det emne op..

03.11.2016

Clara Hennecke Mikkelsen, SCM.dk

Kim B. Larsen er Cyber Security Officer i Huaweis danske afdeling. Han har før været Chief Information Security Officer med ansvar for it-sikkerheden i Politiets Efterretningstjeneste (PET) - en stilling han havde i 11 år. .

Den multinationale telekommunikationsvirksomhed Huawei udgav i juni virksomhedens fjerde hvidbog om sikkerhed i forsyningskæden. SCM.dk har taget en snak med Huaweis sikkerhedschef (Cyber Security Officer) i Danmark, Kim Larsen, om risici, forebyggelse, lovgivning og målbarhed. 

Sikkerhed i forsyningskæden er ikke så enkelt, som det var engang. I vores digitale og moderne verden handler det ikke kun om at have gode låse og trygge rammer, men også om at holde digitale døre låst, så vigtig information bliver i virksomheden.

Kim Larsen beskriver alle virksomheder, der lever af viden og producerer deres egne ting, som værende potentielt i fare for informationslæk. Hvis man ikke har styr på sin forsyningskæde, er der risici for, at man kan blive eksponeret negativt, hvis en underleverandør fx ikke opfylder de krav, der er stillet til den.

”I virksomheder er der altid den trussel, at folk videregiver oplysninger, de ikke skulle have gjort. Derudover er der truslen om tyveri, og så der er hele den her intellectual property-del. Man giver jo noget af kontrollen videre, hvis man har underleverandører og partnere, som man arbejder tæt sammen med”, forklarer Kim Larsen.

Læs også: Mere sikkerhed i supply chains

For at forebygge risici som de ovenstående skal man tage kontrollen med sin forsyningskæde, forklarer Kim Larsen, hvilket netop er, hvad rigtig mange virksomheder er begyndt på:  

”Sikkerhed er blevet et kæmpe emne. Og det har gjort, at mange har kigget indad, og rent faktisk har fået gjort det, som man længe har sagt, man har gjort - det vil sige fået lavet nogle ordentlige politikker og procedurer for medarbejdere, papirhåndtering og sikkerhedsstrukturer i virksomheden”.

<p>”Vi har i Hvidbogen lavet 46 baseline områder spørgsmål, man kan bruge til at skabe noget målbarhed angående sikkerheden. Målbarheden og risikoafvejning er det vigtigste i det her”. </p>

Kim Larsen, sikkerhedschef i Huawei.

Kæden er ikke stærkere end det svageste led
Når man skal have styr på sikkerheden i sin virksomhed og forsyningskæde, gælder det om, at man sikrer sig, at der ikke er nogle steder i hverken virksomheden eller forsyningskæden, der bliver slækket på sikkerhedsstrukturen:

”Det gælder helt konkret om at stille samme krav til ens virksomhed, som man stiller til sig selv. At få styr på papirhåndteringen i virksomheden, få styr på produktionen, få styr på medarbejderne. Stille sig selv spørgsmål som ’hvem har man ansat? Hvordan får de adgang til ens faciliteter? ’ Og det samme gælder i forsyningskæden”, siger Kim Larsen og eksemplificerer:

”Hvis man netop har afgivet noget af sin intellectual property til nogle andre – altså hvis man har fremstillet noget, en komponent af en art, og har lagt det ud til en produktionsvirksomhed - så skal man jo sikre sig, at de ikke giver det her produktkendskab videre til andre. Det handler om insidertruslen, altså hvis en medarbejder videregiver information, der ikke skulle videregives”.

Sikkerhedschefen nævner sikkerhedscertificeringen ISO 27001, som et konkret værktøj man kan tage i brug. ISO 27001 er en international standard for informationssikkerhed, individuelt opbygget til at møde den enkelte virksomheds behov.

”Det gælder altså om, at få styr på hele den proces og hele den ramme, der udgør ens sikkerhedsstruktur. Helt basalt handler det om, at en kæde ikke er stærkere end det svageste led. Det gælder også forsyningskæden”.

Gennemsigtighed i leverandørkrav
Man skal dog passe på med at lovregulere som et skridt mod mere sikkerhed, mener Huaweis sikkerhedschef. Og hvis staten endelig skal styre gennem lovgivning, skal den gøre det i samarbejde med industrien, understreger han.

<p>”En kæde er ikke stærkere end det svageste led. Det gælder også forsyningskæden”.</p>

Kim Larsen, sikkerhedschef i Huawei.

”Men til gengæld er det også vigtigt, at staten, som jo er kunde hos rigtig mange af os, sætter nogle transparente krav til leverandørerne. Det er noget vi arbejder tæt sammen med blandt andre Dansk Industri for at få gennemført”.

Der skal altså sættes standarder i stedet for at laves lovgivning på området. Og helst EU-standarder, snarer end nationale krav.  

”Man må jo erkende, at Danmark ikke er et kæmpestort marked og ved at gøre det større – ved fx at sætte standarder inden for EU – bliver det nemmere for de store leverandører at anerkende de krav og være med”.

Målbarhed frem for alt
Når man starter på at lave sikkerhed, kan man pludselig blive opmærksom på, hvor mange huller der måske er i ens sikkerhed. Hvor meget man ikke har under kontrol. Det betyder ikke nødvendigvis, at man skal dække dem alle, hvis man eksempelvis ikke har ressourcerne dertil. Det er nemlig i sig selv en styrke, at man er bevidst om de huller, der kan være og de risici, hullerne medfører.

Det at få styr på sin leverandørkontrol og blive bevidst om eventuelle huller, giver en målbarhed i forhold til virksomhedens reelle risikobillede. Og dét er noget af det vigtigste.

Læs også: Bliver din forsyningskæde løftet eller bremset af it?

”Vi har i Hvidbogen netop lavet 46 Baseline områder spørgsmål, man kan bruge til at skabe noget målbarhed angående sikkerheden. Spørgsmålene bevæger sig inden for forskellige områder, så man meget specifikt kan gå ud til sin leverandør og sige ’Nu vil vi gerne kigge på din personelsikkerhed, nu vil vi gerne kigge på din informationshåndtering’. Og så kan man simpelthen måle sig frem til hvilke risikogrupper, man har”, siger Kim Larsen og tilføjer:

”Målbarheden giver langt bedre mulighed for risikostyring og er bare… Det er det vigtigste i det her”. 

Toyota Material Handling A/S

Sponseret

Er du klar til at træffe de rigtige beslutninger for fremtidens logistik?

Slimstock Nordic

Sponseret

An opinion Making Artificial Intelligence (AI) land in supply chain practice

Relateret indhold

05.06.2025SCM.dk

RFID: Terma Aerostructures indgår partnerskab med Lyngsoe Systems om digital produktionsomstilling

03.06.2025AGR

Sponseret

AGR udvider fra forsyningskædestyring til leverandørstyring

22.05.2025SCM.dk

Cobot sætter nye standarder i kollaborativ automation

22.05.2025Datacon A/S

Sponseret

Case: Munck Gruppen

21.05.2025SCM.dk

Carmo løfter dokumentationen med ny automatiseret CO2-beregner

21.05.2025Bredana Axcite A/S

Sponseret

Betaler I for meget for Dynamics 365 licenser

19.05.2025SCM.dk

Cyberaktivister øger truslen med DDoS-angreb

14.05.2025SCM.dk

Digitalisering som løftestang for bæredygtighed og ESG

Hold dig opdateret med SCM.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ledelse af forsyningskæden, Nyhedsbrevet kommer kun to gange pr. uge.

Se flere temaer

Events

Se alle
Bureau Veritas
Webinar
Webinar: Alt du skal vide om ISO 27001

Lær om krav og fordele ved en ISO 27001 certificering. Er der krav til, at din virksomhed skal have en ISO 27001 certificering, eller er du blot nysgerrig på at vide mere om standarden? Deltag i vores webinar den 4. juni og få indsigt i, hvordan certificeringen kan hjælpe din virksomhed med informationssikkerhed og compliance. Falk Lange, som er Head of Information Security Management System hos TDC Erhverv, er med på webinaret og vil fortælle om deres erfaringer med ISO 27001 og NIS2.

Dato

04.06.2025

Tid

13:00

Sted

Online

Dansk Standard
Kursus
ISO/IEC 27001: Diplomkursus i informationssikkerhed

På dette kursus får du hjælp til at få et effektivt ledelsessystem for informationssikkerhed med ISO 27001, som passer til din virksomheds behov.

Dato

11.06.2025

Sted

Dansk Standard, 12 etage, Sal 3 Göteborg Plads 1 2150 Nordhavn

DNV Business Assurance Denmark
Kursus
Risikobaseret intern audit af ledelsessystemer

ISO ledelsessystemstandarderne stiller krav om, at virksomhedens ledelsessystem tager udgangspunkt i risici og muligheder.

Dato

11.06.2025

Sted

Odense

DNV Business Assurance Denmark
Kursus
Sæt strøm til ISO/IEC 27002 med CIS18

Få konkrete anvisninger til opbygning af dine sikkerhedsforanstaltninger

Dato

12.06.2025

Sted

København

DNV Business Assurance Denmark
Kursus
APQP4Wind Specialist Refresher Training

Event Description

Dato

12.06.2025

Sted

Online

Brother Nordic A/S
Messe
RFID & Iot in the Nordics 2025

Mød os til "RFID & Iot in the Nordics 2025" i København.

Dato

12.06.2025

Sted

Rued Langgaards vej 7 2300 København S