Professor: De fleste cyberangreb vil ske via forsyningskæden

Vi kommer til at se markant flere cyberangreb via forsynings- og værdikæder, forudser Michael Herburger, der forsker i krydsfeltet mellem cybersikkerhed og supply chain management.

Michael Herburger, forsker i cybersikkerhed. Foto: Industriens Fond

Ifølge Michael Herburger, der netop har skrevet phd-afhandling om cybersikkerhed i værdikæder, var det først i 2016, at verden for alvor fik øjnene op for, at der også er store cyberrisici forbundet med virksomhedernes værdi- og forsyningskæder.

“I dag er det jo den primære indgang for hackere, der gerne vil ind i de store virksomheder,” fortæller han.

“Pandemien og krigen mellem Rusland-Ukraine har i den grad været en øjenåbner ift. sårbarhederne i virksomhedernes eksterne netværk, og antallet af cyberangreb er steget eksplosivt.”   

Opbyg viden om cyberangreb internt  

Ifølge Michael Herburger er den største trussel mod de små- og mellemstore virksomheder (selv)opfattelsen af, at de ikke er interessante for cyberkriminelle – og deres cybersikkerhed således bliver derefter.  

“Den opfattelse eksisterer i bedste velgående, og den skal virksomhederne tage et opgør med. I min optik er trusselsbilledet det samme uanset, om man er en stor eller mindre virksomhed. Det væsentlige her er konteksten.”  

“De små virksomheder har begrænsede menneskelige ressourcer og budget – ofte er it og sikkerhed outsourcet. Det betyder, at de mangler denne her viden internt. Det har så også den konsekvens, at det er svært for virksomhederne at evaluere de firmaer, de outsourcer it-sikkerhed til. Er de i overhovedet i stand til at sikre det værn, der er nødvendigt i dag? Er det en såkaldt state-of-the-art-løsning, de tilbyder? Der er svært at benchmarke her, når man ikke har nogen viden internt at trække på.”  

“Virksomhederne er enormt afhængige af deres partner samtidig med, at de ikke er i stand til at evaluere området internt. Det er en stor udfordring.” 

Udpeg en ansvarlig

Dermed opfordrer professoren også til, at virksomhederne opbygger den viden internt: 

“Der er nødt til at være en person i virksomheden, som har overblikket. Én, som er dybt nede i det her område, for konsekvenserne ved ikke at være det, er så store” siger han.  

Kan du uddybe de konsekvenser?  

“Lad mig give et eksempel her fra Østrig, hvor hackere har infiltreret en sårbarhed hos et it-sikkerhedsfirma, der lever af at tilbyde it-sikre løsninger. Firmaet er en SMV, og kunderne er også SMV’er. Angrebet, de blev udsat for, var et klassisk ransomware-angreb, og 37 kunder blev ramt, dvs. deres drift blev indstillet i op til to uger.”   

“Et af de firmaer, der blev berørt, var et højt-automatiseret fiske-fodringsfirma, som er dybt afhængig af deres OT-system (Operational Technology system, der omfatter hardware- og softwaresystemer, som bruges til at overvåge og administrere fysiske processer og enheder i industrielle og kritiske infrastrukturmiljøer red.).  

“Da det system blev lagt ned, blev konsekvensen meget tydelig, fordi pludselig ikke var fisk i køledisken i supermarkedet. Når et cyberangreb rammer på den måde, er det jo ikke kun tilgængeligheden, der bliver ramt – det er hele virksomhedens integritet, fortrolighed og omdømme, der er på spil,” fortæller Michael Herburger.   

Kortlæg netværket af leverandører  

“Enhver virksomhed bør starte med gå værdi- og forsyningskæden grundigt igennem. De fleste kender kun deres kunder og leverandører. Men de aner ikke, hvem der står bag dem. Her skal man være opmærksom på, hvem der er de mest relevante partnere ift. cybersikkerhed. Hvilke data deler vi med hvilke leverandører? Er det kun e-mailkorrespondancer, eller hvor integrerede er vi egentlig, og hvilke cyberrisici er der i hele produktets livscyklus.” 

Er man på udkig efter nye leverandører eller samarbejdspartnere bør cybersikkerhed også være en del af samtalen. 

“Det at lave en klar forventningsafstemning på området er klart nemmere at gøre i starten af en samarbejdsrelation frem for at efterhæve kravene,” siger Michael Herburger.  

“De fleste virksomheder kender i dag de typiske sårbarheder, ransomware, phishing, CEO-fraud osv. Spørg de vigtigste leverandører og samarbejdspartnere ind til det her, hvor modne er de, har de certifikater eller handleplaner på området? Det er vigtigt at få afklaret,” siger Michael Herburger.  

Cyberbarometeret belyser konkurrencefordelene ved investeringer i cybersikkerhed. Barometeret er baseret på en årlig spørgeundersøgelse blandt danske små og mellemstore virksomheder. Årets barometer bygger på 919 besvarelser. Du kan læse årets rapport her.

Denne artikel er del af et tema:

Tema: Cybersikkerhed i forsyningskæden

Forsyningskæden er i dag den primære indgang for cyberkriminelle. Forsyningskæden er samtidig en så vanskelig en størrelse at håndtere i forhold til cybertrusler, at det måske ikke er rimeligt at bruge termen ’sikkerhed’. Måske er det mere rimeligt at tale om, at målet for indsatsen er ’højere resiliens’ frem for ’100 procent sikkerhed’. Læs forskellige vinkler på og anbefalinger til arbejdet med at forbedre cybersikkerheden i kæden.

21.11.2024Industriens Fond

Sponseret

“Det ville vel nærmest være uetisk at stå i vejen for udviklingen af kunstig intelligens”

07.11.2024Industriens Fond

Sponseret

Cybersikkerhed: Det handler ikke kun om at overholde loven

24.10.2024Industriens Fond

Sponseret

Kunstig intelligens gør vindmølle-reparationer mere præcise

14.10.2024Industriens Fond

Sponseret

“Vi købte den første robot, før vi havde et job til den”

30.09.2024Industriens Fond

Sponseret

Særligt små virksomheder skal indstille sig på nye NIS2-krav

13.09.2024Industriens Fond

Sponseret

Bliv D-mærket – din vej til en cybersikker virksomhed