Hur stark är er säkerhet om en länk i kedjan fallerar?

I december 2023 drabbades Coaxis, en fransk IT-tjänsteleverantör, av en ransomware-attack. Det som följde drabbade 350 000 företag. Redovisningsbyråer, medicinska laboratorier, advokatbyråer: alla avskurna från sina system, sina data, sitt dagliga arbete. Hur snabbt de kunde återhämta sig berodde delvis på val de redan hade gjort i förväg.

Attacken mot Coaxis är central i dokumentären Don't Go to the Police, där man följer historien inifrån.

Många organisationer har bra koll på sitt eget cyberförsvar. Men hur väl känner du till säkerheten för de organisationer du är beroende av? Säkerhet känns intern, men i verkligheten formas den av mycket mer än vad du direkt hanterar. En sårbarhet hos en enskild leverantör förblir sällan en isolerad incident.

I praktiken förblir säkerheten över hela supply chain en administrativ uppgift för många organisationer. Avtalsbestämmelser, certifieringskrav, policyklausuler. Research från ENISA visar att supply chain-säkerhet är den svagaste komponenten i NIS2-förberedelserna, med en beredskapspoäng på endast 37 procent. Ändå kräver nya regler som NIS2 att organisationer inte bara får ordning på sin egen digitala motståndskraft utan också kritiskt bedömer sina leverantörers.

De som gömmer sig bakom pappersavtal bygger en falsk känsla av säkerhet. Tanken att man kan täcka alla risker i leveranskedjan. Att vara bättre förberedd börjar inte med fler kontrakt. Det börjar med att ställa rätt frågor.

Så skyddar ni organisationen mot risker i leveranskedjan

Säkerhet i leveranskedjan börjar med att ge ärliga svar på frågor som de flesta organisationer ännu inte har tydligt definierat. Nedan följer de fyra frågor som är viktigast.

1. Vilka leverantörer påverkar era kritiska system eller processer?

Alla leverantörer utgör inte lika stor risk. Börja med de parter med tillgång till kritiska system,  hanterar känsliga data och parter som är avgörande för er operativa kontinuitet. Kartlägg vilka externa parter som berör era kronjuveler, såsom data, system eller processer som är avgörande för er organisation, och fastställ effekten om de fallerar eller äventyras.

2. Om en av era viktigaste leverantörer fallerar imorgon, hur lång tid tar det innan ni känner av effekten?

Operativa beroenden blir ofta bara synliga när de försvinner. De organisationer som återhämtar sig snabbast har kartlagt dessa beroenden i förväg. Vad är vår backup-plan? Vem fattar vilket beslut? Hur länge kan vi fungera utan denna leverantör? Dessa frågor låter enkla. Men de flesta organisationer har inte svaren redo.

3. Har ni tydliga avtal om hur leverantören rapporterar en incident till er och hur snabbt?

En rapporteringsskyldighet ingår i många kontrakt. Men vem ringer vem, när och med vilken information? Om detta inte konkret koordineras och dokumenteras sker improvisation under en kris. Och improvisation under press leder sällan till bra beslut. Fungerande överenskommelser om rapportering och eskalering är grunden för en kontrollerad respons.

4. Vet du vad ni ska göra om något går fel hos en leverantör?

Detta är den fråga som ställs minst ofta, men som är viktigast i det ögonblick det går fel.

Operativt: Har du en beredskapsplan om en leverantör misslyckas eller är oåtkomlig? Inte alla organisationer behöver ha ett komplett alternativ redo, men att veta hur länge du kan fortsätta verka och vilka de första stegen är är minimum.

Kommunikativt: Vem informerar vem – internt, till kunder och tillsynsmyndigheter? Kriskommunikation som inte har tänkts igenom i förväg leder till förseningar, motstridiga budskap och onödiga varumärkesskador. Kunder som förstår vad som spelar in kan själva vidta ytterligare åtgärder. Kunder som inte hör något fyller tomrummet med rykten.

När det gäller beslutsfattande: Vem har befogenhet att vidta åtgärder, baserat på vilka kriterier och inom vilken tidsram? I en kris finns det inte längre tid att besvara den frågan. De organisationer som har mest kontroll är inte de som improviserar bäst, utan de som redan har fattat sina beslut innan pressen ökar.