Flere forskere indenfor cybersikkerhed peger på, at vi vil se flere og flere hackere der udnytter sårbarheder i virksomheders leverandørkæder. Det er derfor centralt, at vi styrker cybersikkerhed i leverandørkæder.

Ingen leverandørkæde er stærkere end det svageste led. Hvis der bare står en enkelt ‘dør på klem’ i virksomheders omfattende værdikædesystem, som for de fleste består af SMV-virksomheder, har it-kriminelle mulighed for at få adgang til kritisk it-infrastruktur og forretningskritiske data.

Kom med til arrangement: Cybersikkerhed anno 2024

Sårbarheder afsløret 

Det var det, der var tilfældet i maj måned 2023, da dansk kritisk infrastruktur blev udsat for det hidtil mest omfangsrige angreb nogensinde.

I maj blev 22 selskaber, der driver dele af den danske energiinfrastruktur, kompromitteret i en række koordinerede cyberangreb. De fleste af de angreb kunne lade sig gøre, fordi de enheder, der blev angrebet, ikke havde fået installeret de nyeste opdateringer.

Det var tilfældet fordi energiselskaberne antog, at deres leverandør stod for opdateringer, mens andre selskaber ikke vidste, at de havde de pågældende enheder i deres netværk, fordi de var blevet installeret af en leverandør, som ikke havde gjort opmærksom på det. Derfor blev sårbarhederne heller ikke ’patchet’ – og der står en ’dør på klem’, som angriberne frit benyttede sig af.

Et så alvorligt angreb understreger, hvor vigtigt det er, at der er styr på roller og ansvar i leverandørkæden, så vi undergår at sårbarheder udnyttes og at angreb spreder sig som ringe i vandet.

NIS2 skærper krav til styring 

Sagen viser at det er nødvendigt, at man tænker cybersikkerhed ind i leverandørkædestyring. Det kommer NIS2 til at stille krav til. På nuværende tidspunkt ved vi, at det kommer til at betyde, at de virksomheder myndighederne udpeger som samfundskritiske, har ansvaret for at sikre, at deres underleverandører også lever op til en række NIS2-sikkerhedskrav. Der er ikke tale om, at alle leverandører omfattes, men kun de leverandører, der er afgørende for, at virksomheden kan udføre sin samfundskritiske funktion.

Kravene bliver omfattende – og det er derfor en god idé allerede nu, at forberede dig, også selvom vi stadig ikke kender den nationale implementering.

Ny lov: Sløs med cybersikkerhed kan koste dig lederjobbet

D-mærket hjælper dig

Du kan som leverandør til større samfundskritiske virksomheder, godt forberede dig på, at dine kunder snart vil banke på, og stille krav til cybersikkerhed. Du kan altså blive indirekte omfattet af kravene, og derfor er det en god idé at arbejde systematisk med cybersikkerhed, hvis I ikke allerede gør det i dag. Det handler om at kunne dokumentere og vise, hvordan man arbejder med tiltag og risikostyring.  

Det kan D-mærket hjælpe med.

Med D-mærket kan du som leverandør vise kunder, at din virksomhed lever op til minimumskravene i NIS2. DI har være med til at udvikle D-mærket, og du kan bruge D-mærkets gratis selvevalueringsværktøj til at få overblik over hvor langt din virksomheder er fra at efterleve minimumskravene.

Book et gratis opstartsmøde her: Bliv klar til NIS2 med D-mærket (d-maerket.dk)

Dyk ned  rapporten som SektorCERT udgav på bagkant af angrebene. Det skrev jeg om i Ingeniøren sammen med Peter Kruse, udvalgsleder for DI’s udvalg for Informationssikkerhed: SMV'erne er nøglen til at holde cyberangreb ude af energisektoren | GridTech (PRO) (ing.dk)