3 trin til bedre værn mod cybertrusler i din forsyningskæde

Forsyningskædelandskabet er en meget svær størrelse at håndtere, når vi taler om at forebygge og modstå cyberkriminelle trusler. Det fremhæver Brian Schultz på Gartner-webinaret ”3 Strategies to Defend Your Supply Chain Against Cybercriminals”, som blev afholdt i november 2023.

Brian Schultz er Senior Director Analyst hos Gartner med speciale i supply chain cyber risk management. Han påpeger, at forsyningskæden er så vanskelig en størrelse at håndtere i forhold til cybertrusler, at han rent faktisk slår fast, at det ikke er rimeligt at bruge termen ’sikkerhed’. Det er mere rimeligt at tale om, at målet for indsatsen er ’højere resiliens’ frem for ’100 procent sikkerhed’.

Men det er vigtigt at tænke cybersikkerhed ind i ledelsen af forsynings- eller værdikæder. Ifølge Michael Herburger, der netop har skrevet phd-afhandling om cybersikkerhed i værdikæder, var det først i 2016, at verden for alvor fik øjnene op for, at der også er store cyberrisici forbundet med virksomhedernes værdi- og forsyningskæder.

Læs også: Cyberangrebet kommer, du ved bare ikke hvornår

“I dag er det jo den primære indgang for hackere, der gerne vil ind i de store virksomheder,” fortæller han.

“Pandemien og krigen mellem Rusland-Ukraine har i den grad været en øjenåbner i forhold til sårbarhederne i virksomhedernes eksterne netværk, og antallet af cyberangreb er steget eksplosivt”. Det uddyber han i artiklen ’Professor: De fleste cyberangreb vil ske via forsyningskæden’.  

Brian Schultz fra Gartner uddyber ved at pege på tre aspekter ved sikkerhedstrusler i forhold til forsyningskæden:

• OVERFLADE: Forsyningskædens ’overflade’ er så ubegribelig stor, at det er umuligt fuldt ud at kontrollere alle hjørner og aspekter.
• KOMPELKSITET: Forsyningskædens kompleksitet – både hvad angår fysiske aktiver og teknik, processer samt organisationer – er så uoverskuelig, at det i praksis ikke er muligt at sikre sig 100 procent.
• DYNAMIK: Forsyningskæden er så dynamisk, at en sikkerhedsløsning i løbet af kort tid vil være forældet. Virksomheder har 100vis og måske 1000vis af leverandører og samarbejdspartnere, som igen har 100 eller 1000vis af partnere, og alle parter indfører hele tiden ny teknologi, ligesom medarbejdere, processer, governance og så videre løbende bliver udskiftet.

Trusselsbilledet er bredt og skarpt
”De fleste virksomheder opererer med mange niveauer af it-systemer fra Enterprise IT Network over Operational Technology Network, Industrial Control System, PLC til Internet of Things, ligesom de gør brug af en mangfoldighed af kommunikationsteknologier som for eksempel telecom, satellit, cellular, lokal 5G, WI-FI og on premise cloud. Hvis man ganger alle disse teknologier med antallet af aktører i en forsyningskæde, så får man en voldsom stor overflade og kompleksitet, som tilbyder utrolig mange muligheder for ondsindede cyberkriminelle”, fortæller han.

Han refererer til en Gartner-undersøgelse, der konkluderer, at 34 procent af ledere i forsyningskæde vurderer, at indførelse af ny teknologi er den væsentligste strategiske forandring i de næste fem år. Det er nye teknologier som eksempelvis hyperautomation 2.0, next gen robotter, digitale supply chain tvillinger, analytics ’everywhere’ samt ecosoystem collaboration and sustainability tools.

Han understreger, at de cyberkriminelle profiler er meget forskellige og spænder fra relativt amatøragtige forsøg over terroristgrupper, freelance hackere og organiserede kriminelle grupper til landedrevet cyberkriminalitet. ”Graden af sofistikering stiger voldsomt, der bliver brugt meget store ressourcer både i form af talent, tid, organisering og finansiering på cyberkriminelle aktiviteter”, fortæller han.

Top 4 risici
Han peger også på, at andelen af bestyrelsesmedlemmer, der anser cyber-risici for at være alvorlige forretningsrisici er steget fra 58 procent i 2016 til 88 procent i 2022.

”Supply chain ledere skal derfor tage ejerskab for supply chain cyberrisici og må indgå et tæt samarbejde med it-direktør og sikkerhedseksperter. Vi kan også måle, at 62 procent af supply chain lederne investerer markant mere i cybersikkerhed i dag end for få år siden, og at investeringerne vil stige fremover”, fortæller Brian Schultz.

Gartner-analytikeren peger på de fire væsentligste supply chain cyber-risici:

• Forstyrrelse af forretningskontinuitet.
• Korrumperede data.
• Kompromitterede produkter.
• Spionage og tyveri af intellektuelle rettigheder (IP).

Tre trin til at forebygge risici
Brian Schultz og Gartner anbefaler en trestrenget strategi til at forbedre it-sikkerheden i forsyningskæden. Den består af:

1. Inddrag interessenter.
2. Indfør rammer, spilleregler og standarder.
3. Grib til C-TPRM.

Inddrag interessenterne vil sige at tage både interne og eksterne interessenter med på råd og etablere samarbejde med dem om bedre cybersikkerhed. 

Interne interessenter er bestyrelsen samt direktører for salg, finans, operations, it, it-mæssig og fysisk sikkerhed, risikostyring, kontrakter og juridiske aftaler, indkøb, interne audits og andre relevante topledere.

Eksterne interessenter kan omfatte kunder, leverandører, cyber-forsikring, regulatorer og lobbyister, eksterne audits, samarbejdspartnere, udstyrsleverandører, brancheforeninger med flere.

Rammer, spilleregler og standarder omfatter for eksempel end-to-end håndtering af cybersikkerhedsrisici, et fælles sprog for både de interne og eksterne drøftelser om risici samt konsistente processer for samarbejde med nøglespillere i forsyningskæden.

C-TPRM står for et ‘cyber third-party risk management’-program, der fastlægger cyber-hygiejne ’rating’ og skaber et ’flow down cyber standards’, der sikrer at hygiejne-standarder bliver spredt ud i alle afkroge af forsyningskæden. Den næste opgave er så løbende at overvåge, at cyber-hygiejnen bliver efterlevet på daglig basis, så der ikke opstår uheldige huller i sikkerheden.