Leverantörens leverantör också ert ansvar – så bygger företag en säkrare kedja från start till mål

Leveranskedjan har under hösten seglat upp i debatten till följd av en rad större driftstörningar hos IT-leverantörer som påverkat en mängd verksamheter. De flesta företag idag är beroende av ett komplext nätverk av leverantörer, underleverantörer och underleverantörers leverantörer. Ansvarsfrågan för säkerhet och drift är delad, det förstår de flesta. Men, exakt hur långt sträcker sig ansvaret när det kommer till att hantera tredjepartsrisker? Ganska långt, ska det visa sig och här behöver företag göra mer.

Vi ser en generell trend mot att verksamheter lägger mer kraft på att säkra upp leveranskedjor. Det beror dels på ökade krav från lagstiftning och regelverk så som DORA och NIS2. Men vi ser även omvärldsfaktorer som påverkar hur företag ser på risk, och där leveranskedjan blivit en prioriterad fråga. Nato och stöd till Ukraina är exempel på faktorer som haft direkt påverkan på hotlandskapet.

Efter en rad exempel på senaste tid, är det också tydligt att en betydande störning i leveranskedjan inte måste röra sig om en cyberattack. Det räcker med att system eller applikationer tillfälligt ligger nere för att samhällsviktiga funktioner ska drabbas av omfattande driftstörningar, något som för leverantörens enskilda slutkunder kan bli mycket dyrt och ta lång tid att återhämta sig från. Det gör detta proaktiva säkerhetsarbete till en absolut hygienfaktor som samtliga företag behöver ta tag i.

En säker leveranskedja börjar redan vid kravställningen och valet av leverantör. Här behöver du som beställare bygga ditt case. Vad är det för data ni kommer att ha i systemet? Hur känslig är den och hur ser kraven på tillgänglighet ut?

Utvärdera sedan och upphandla leverantör efter cybersäkerhetsperspektivet. Hur har kandidaterna svarat? Vad ser ni för risker? Vad är de för typ av bolag och var är de baserade är också relevanta frågeställningar.

Viktigt här är att utvidga kravställningen till att omfatta hela leveranskedjan. Den behöver följa med till leverantörens underleverantörer. Sist men inte minst, be om att få se deras interna kravställningar också. Det spelar nämligen ingen roll hur bra ni själva hantera händelser. Finns inte samma förmåga hos era leverantörer kan störningar där också påverka er verksamhet.

Ett driftstopps påverkan på den egna verksamheten kan bli omfattande. Den goda nyheten är att mycket kan göras proaktivt för att det inte ska behöva bli så. En väl utarbetad och testad plan gör stor skillnad.

En kontinuitetsplan börjar med ett antal frågor att ställa till den egna organisationen. Vad gör ni om ni inte har fungerande IT? Oavsett strömavbrott eller ransomware - hur upprätthålls lagerhållning, hur hanteras logistik, och om ni är en vårdaktör, hur hålls vården i gång?

Samma gäller för data. Fråga er; hur mycket data kan ni förlora, vad kan ni inte förlora? Hur länge kan verksamheten ligga nere? Vad är kostnaden? Eller i verksamheter där förluster möts med andra nyckeltal, vad är förlusten? Gör den kalkylen och utarbeta en plan utefter den.

En solid kontinuitetsplan behöver innehålla uppföljning av plan och rutiner med leverantörer som en del i det vardagliga arbetet. Detta behöver ske fortlöpande, med övervakning både på distans och på plats av hur leverantören i sin tur sköter sina rutiner med sina leverantörer. Besök leverantören för att kunna utvärdera mognadsgrad på plats och ställ frågor! Ju mer kritisk leverantören är för er, desto oftare behöver ni se över deras verksamhet och utvärdera den. Här är det jätteviktigt att jobba strukturerat och dokumentera strukturen så att fastställda rutiner kan följas upp.

Ta ansvar för hela er leveranskedja. En bra återställningsplan och en backup-lösning ger er en solid plan B som minskar stress, mildrar riskerna vid driftstopp och låter er fokusera resurser på att driva och utveckla verksamheten snarare än att hantera förödande incidenter.

Mats Lindblad, Business Area Manager GRC & Advisory på Orange Cyberdefense