Forsyningskæders cybersikkerhed er fulde af blinde vinkler
Omtrent halvdelen af forsyningskritiske virksomheder mangler overblik over cybersikkerheden i deres forsyningskæde, som cyberkriminelle i stigende grad angriber
Ifølge Stefán Kristjánsson, dansk talsperson for DNV Cyber, er organisationer derfor nødt til at danne bedre overblik over sårbarheder i deres forsyningskæder og implementere metoder, der sikrer større tilsyn med leverandører: ”Man kan ikke beskytte sig mod trusler, man ikke kender til. For at styrke forsyningskæden bør cybersikkerhedskrav i højere grad integreres i indkøbs- og leverandørkontrakter, og sikkerhed bør tænkes ind i designet af processer. Derudover er løbende detektions- og reaktionsmekanismer afgørende for at opdage og begrænse effekten af sikkerhedsbrud”, siger Stefán Kristjánsson. Foto: DNC Cyber
Cybertruslen mod virksomheder, der spiller en afgørende rolle for samfundets og økonomiens funktioner har aldrig været større og mere avanceret. Som svar på den stigende cybertrussel øges krav til sikkerhedsforanstaltninger på tværs af samfundsvigtige sektorer, og virksomheder investerer massivt i at styrke deres cybersikkerhed. Men hvis ikke hele forsyningskæden prioriteres forbliver sikkerheden sårbar, og en styrkelse af en virksomheds egen digitale forsvarslinje vil have begrænset effekt. Det er konklusionen på den nye Cyber Priority-undersøgelse fra DNV Cyber, som er baseret på en undersøgelse af 207 fagfolk i Norden på tværs af kritiske infrastrukturindustrier, herunder energi, maritim, produktion og sundhed. I undersøgelsen er det kun 56 procent af de adspurgte fagfolk i Norden, som føler sig sikre på, at deres virksomhed har tilstrækkeligt overblik over de sårbarheder, som forsyningskæder udsætter virksomheden for gennem digitale forbindelser. Det øger risikoen for cyberangreb via software og tredjepartsleverandører.
Ifølge Stefán Kristjánsson, dansk talsperson for DNV Cyber, er organisationer derfor nødt til at danne bedre overblik over sårbarheder i deres forsyningskæder og implementere metoder, der sikrer større tilsyn med leverandører:
”Man kan ikke beskytte sig mod trusler, man ikke kender til. For at styrke forsyningskæden bør cybersikkerhedskrav i højere grad integreres i indkøbs- og leverandørkontrakter, og sikkerhed bør tænkes ind i designet af processer. Derudover er løbende detektions- og reaktionsmekanismer afgørende for at opdage og begrænse effekten af sikkerhedsbrud”, siger Stefán Kristjánsson.
Undersøgelsen viser desuden, at forsyningskritiske virksomheder befinder sig i, hvad der bedst kan karakteriseres som et digitalt våbenkapløb. 38 procent af de adspurgte angiver, at cyberkriminelle kan have infiltreret deres forsyningskæde – uden at leverandørerne har rapporteret det. Cyberangreb rettes altså ikke længere kun mod virksomhederne selv, men i stigende grad mod de leverandører, som de er digitalt forbundet med.
”Man er ikke stærkere end sit svageste punkt. Cyberkriminelle målretter oftere sine angreb mod digitale sårbarheder i virksomheders forsyningskæder, hvilket potentielt giver adgang til flere organisationer og systemer, herunder kritisk infrastruktur. Hvis vi ikke sikrer hele forsyningskæden, er virksomhederne ikke beskyttet mod uønskede gæster. Det svarer jo til, at vi låser hoveddøren omhyggeligt, men lader bagdøren stå på klem”, siger Stefán Kristjánsson.
Ifølge Cyber Priority-undersøgelsen er regulering den største drivkraft for investeringer i cybersikkerhed blandt kritiske infrastrukturindustrier. Det er blandt de bedste værktøjer til at styrke den generelle cyberrobusthed og adressere risici i forsyningskæderne og hos virksomhedernes leverandører. Det understreger EU's net- og informationssikkerhedsdirektiv 2 (NIS2) også, mens EU's Cyber Resilience Act (CRA) kræver, at industrielle IoT-produkter opfylder forbedrede cybersikkerhedsstandarder.
Den geopolitiske situation betyder, at vi på tværs af EU oplever flere og flere cyberangreb, og allerede i 2025 har Center for Cybersikkerhed hævet trusselsvurderingen for både tele- og vandsektoren i Danmark. Det kommer blandt andet som følge af cyberangrebet på et dansk vandværk kort før jul i 2024, som efterlod borgere uden vand i flere timer, samt angrebet på TDC-ejede Dansk Kabel TV, hvor hackerne sugede adresser og telefonnumre ud af systemet på kort tid. Af samme årsag er aftalepartierne bag ”Aftale om beredskabsområdet 2025-2026” fra januar 2025 enige om, at der skal udarbejdes en ny national strategi for cyber- og informationssikkerhed i 2025.
”Det er positivt med reguleringen fra EU og Danmark, men vi halter bagefter hackerne, der konstant forfiner deres metoder og går målrettet efter de svageste led. Vi ser, at virksomhederne prioriterer at feje for sin egen digitale dør og derfor ikke har overblik over sårbarhederne i forsyningskæden. Det er uholdbart. Virksomheder bør være på forkant med reguleringen for at sikre robusthed mod det komplekse trussels- og risikobillede. Det er vi alle interesseret i, og derfor bør vi også øge samarbejdet om at sikre os”, siger Stefán Kristjánsson.
Læs også: CeramicSpeed styrker cybersikkerhed i trådløs vibrationssensor
Det er hele 94 procent af fagfolk inden for kritisk infrastruktur i Norden enige i. De mener, at der bør være mere samarbejde for at sikre ensartede tilgange til cybersikkerhed. Samarbejdseksempler omfatter udviklingen af IEC 62443-standarderne, der adresserer sikkerhed for operationel teknologi i industrielle kontrolsystemer, og oprettelsen af anbefalede praksisser for cyberrobusthed i den maritime og energiindustrien.
Kilde: DNV Cyber
/ PiB
