Blogg

Säkra leveranskedjor - ett metodstöd.

Detta metodstöd hjälper organisationer att stärka sin cybersäkerhet i leveranskedjan genom strukturerad riskhantering, kravställning och uppföljning.
Metoden har delats upp i tre områden:
  • Förstå riskerna - Kartlägg och analysera säkerhetsrisker i leveranskedjan.
  • Få kontroll – Skapa och upprätthåll säkerhetskrav för leverantörer.
  • Bygg motståndskraft – Utveckla kontinuerliga säkerhetsförbättringar och incidenthantering.

1. Förstå riskerna

En kartläggning hjälper er organisation att identifiera och förstå säkerhetsrisker i leveranskedjan. Riskkartläggning bör inkludera en bedömning av affärskritiska leverantörer, informationsflöden och eventuella legala risker.

1.1 Vad behöver skyddas och varför

Denna fas innebär att göra en kartläggning av och definition över er information och system som är värd att skyddas och varför. Vilka leverantörer och system utgör det absolut största hotet mot er fortsatta verksamhet. En riskmatris kan användas för att visualisera och prioritera risker baserat på sannolikhet och påverkan.

Ni bör kartlägga:

  • De juridiska riskerna, dvs eventuella svagheter i de kontrakt ni har, eller kommer att ha, med era leverantörer.

  • Vilken information eller tillgångar leverantören har åtkomst till och hanterar som en del av avtalet, samt vilket värde för verksamheten detta har.

  • Vilken skyddsnivå ni önskar hos era leverantörer. Både avseende deras hantering av er information och era tillgångar, men också på de produkter eller tjänster de levererar till er.

1.2 Kartlägg era leverantörer

Kartlägg vilka risker och hot som era leverantörer utgör. Börja med att värdera deras motståndskraft och kontinuitetsförmåga. Värdera vilken information de har tillgång till hos er samt om de levererar tjänster och produkter som är affärskritiska för er organisation. Vilka konsekvenserna skulle bli ifall om denna information skulle exponeras, försvinna eller hamna i orätta händer.

Ni kartlägger och specificerar:

  • Vilka leverantörer har ni. Tänk på hur många steg neråt i leverantörsledet ni behöver gå för att ha förståelse och känna förtroende för hela leveransen. Ni kan behöva förlita er på era direkta leverantörer för att tillhandahålla information om underleverantörer, och det kan ta lite tid att fastställa hela omfattningen av er leveranskedja.

  • Mognad och effektivitet hos era leverantörer gällande deras säkerhetsförmåga och cyberhygien.

  • Vilka säkerhetskrav ni ställer. Är de realistiska utifrån vad leverantören levererar och kan era leverantörer leva upp till dem?

  • Kontrollera och säkerställ att de krav ni har ställt är uppnådda.

  • Förstå vilken tillgång (fysisk och logisk) era leverantörer har till era system, lokaler och information, och hur ni kan kontrollera den.

  • Förstå hur era närmsta leverantörer kontrollerar åtkomsten till, och användningen av, er information och/eller tillgångar – inklusive system och lokaler.

1.3 Estimera säkerhetsrisken

Bedöm riskerna och vad de innebär för er information eller era tillgångar, samt för de produkter eller tjänster som ska levereras. Detta gäller för leveranskedjan i sin helhet. Det är viktigt att utgå ifrån det affärsdrivna riskperspektivet. För offentlig sektor kan detta översättas med skyddandet av varumärket. En riskmatris kan användas för att visualisera och prioritera risker baserat på sannolikhet och påverkan.

Vanliga hot i leveranskedjan

  • Cyberattacker mot leverantörer (exempel: ransomware, supply chain attacks)

  • Insiderhot och social engineering (otillbörlig åtkomst via anställda)

  • Bristande dataskydd och incidenthantering

  • Otillräcklig uppföljning av underleverantörer

Få rätt begränsning

Att förstå risker förknippade med er leveranskedja är nyckeln till att säkerställa att säkerhetsåtgärder och krav är proportionerliga, effektiva och mottagbara. Använd denna förståelse för att bestämma de skyddsnivåer ni förväntar er att leverantörer i hela er leveranskedja tillhandahåller.

Handlingsplan

Dokumentera ert arbete och slå fast en “Supply chain policy”. Det kan vara bra att gruppera olika kontrakt eller leverantörer i olika riskprofiler. Basera det på överväganden som påverkar er verksamhet av eventuella förluster, skador eller avbrott, förmågan hos troliga hot. Ta i beaktande typen av tjänst/produkt de tillhandahåller, typer och känslighet i informationen de behandlar etc. Varje profil kommer att kräva lite olika hantering för att återspegla er syn på de associerade riskerna.

Ett förslag är att göra en risk- och konsekvensanalys och dela in era leverantörer i:

  • Kritisk (Critical)

  • Grundläggande (Essential)

  • Viktig (Important)

  • Övrig (Other)

Lagefterlevnad

NIS2, DORA och AI-Act ställer krav på leverantörssäkerhet. Organisationer bör säkerställa att leverantörer följer bland annat dessa regelverk och implementerar grundläggande cybersäkerhetsåtgärder.

2. Få kontroll

Det här avsnittet hjälper er att få och behålla kontrollen över er leveranskedja. När ni får bättre kontroll över er leveranskedja kan ni analysera strategiska risker för den. Till exempel:

  • Identifiera alla leverantörer som misslyckas med att uppfylla era förväntningar på säkerhet och prestanda.

  • Identifiera kritiska tillgångar och eventuell övertro på enskilda leverantörer.

2.1 Bestäm minimikrav

För att säkerställa en konsekvent och robust cybersäkerhet genom hela leveranskedjan bör leverantörer uppfylla tydliga, standardiserade säkerhetskrav under hela avtalsperioden. Dessa krav bör baseras på etablerade internationella standarder (t.ex. ISO 27001, NIST CSF, CIS Controls) och anpassas utifrån verksamhetens riskprofil.

En fördel av att använda standardiserade kontroller och systemstöd för analyser sparar tid för er, men även för alla leverantörer som kommer att få ökade krav från alla kunder då det blir ökade lagkrav för många (NIS2, DORA, AI-Act etc.).

Dessa krav ska spegla er bedömning av säkerhetsrisker, men ta också hänsyn till mognaden i era leverantörers säkerhetsarrangemang och deras förmåga att uppfylla de krav ni avser att ställa. Se till att fastställa minimisäkerhetskrav som är motiverade, proportionella och uppnåeliga för leverantörer.

För kritiska leverantörer kan det vara berättigat att göra djupare kontroller och säkerhetsrevisioner. Ställ olika mognadskrav för olika typer av leverantörer, baserat på den risk som är förknippad med dem – undvik situationer där ni tvingar alla era leverantörer att leverera samma nivå av mognadsnivå när det kanske inte är proportionerligt eller motiverat att göra det. Förklara motiveringen för dessa krav för era leverantörer, så att de förstår vad som krävs av dem.

2.2 Specificera kraven i avtal

Inkludera era minimikrav på säkerhet i de avtal ni har med leverantörer och kräv dessutom att era leverantörer vidarebefordrar dessa till eventuella underleverantörer som de kan ha. Här kan ni ställa krav i era avtal att era leverantörer i sin tur måste säkra sina underleverantörer att ha en grundläggande cyberhygien.

Bevis

Kräv att potentiella leverantörer tillhandahåller bevis på sitt systematiska arbete med cybersäkerhet och sin förmåga att uppfylla de minimikrav på säkerhet som ni har ställt i olika skeden av kontraktstiden.

Ge stöd

Utveckla lämplig stödjande vägledning, verktyg och processer för att underlätta säkerhetsarbetet för er och era leverantörer, på alla nivåer.

Gör kraven tydliga

Ni bör tydligt ange krav för hantering och rapportering av säkerhetsincidenter i kontraktet. Klargör leverantörens ansvar för att informera er om incidenter, vem leverantören ska rapportera till etc. Leverantörer bör också informeras om vilket stöd de kan förvänta sig av er om en incident inträffar, nödvändiga “saneringsåtgärder”, ersättningar etc. GDPR-kraven ger ganska korta tidsramar för att informera tillsynsmyndigheten om eventuella incidenter, något ni och er leveranskedja måste förbereda er inför. Berörs ni av NIS2 så är det än hårdare tidsramar när det gäller att informera tillsynsmyndigheten.

Ni bör:

  • Se till att de säkerhetsöverväganden ni bygger in i era avtal är proportionerliga och överensstämmer med de olika stadierna i avtalsprocessen, samt är i proportion till leverantörens betydelse och möjligheter.

  • Kräva att säkerhetsöverväganden specificeras i kontrakt och utbilda alla parter om deras användning.

  • Kontrollera att er stödjande vägledning, verktyg och processer används i hela leveranskedjan.

  • Kräva att kontrakt förnyas med lämpliga intervall och kräv i samband med det omvärdering av tillhörande risker.

  • Försäkra er om att era leverantörer förstår och stödjer er inställning till säkerhet och be dem att vidta åtgärder eller tillhandahålla information där det är nödvändigt.

  • Se till att avtal tydligt anger specifika krav för retur och radering av er information/ tillgångar av en leverantör vid uppsägning eller överföring av avtalet.

2.3 Uppföljning och granskning

En viktig del av säkra leveranskedjor är att säkerställa att leverantörerna följer säkerhetskraven under hela avtalsperioden. Många säkerhetsbrister uppstår efter att avtalet skrivits, vilket gör kontinuerlig uppföljning och revision avgörande. Automatiserade kontroller och KPI:er möjliggör snabbare identifiering av säkerhetsbrister.

Följ upp att era leverantörer arbetar aktivt och systematiskt med sin cybersäkerhetsförmåga under hela avtalstiden. Lever en leverantör inte upp till era minimikrav så kan ni ställa krav på att de inkommer med en handlingsplan över när och hur de ska åtgärda detta. Automatiserade riskbedömningar och kontinuerlig uppföljning av leverantörer säkerställer att säkerheten bibehålls över tid. Användning av Zero Trust-principer och digitala plattformar kan öka transparensen och säkerheten i leveranskedjan.

Överväg att genomföra kontinuerliga säkerhetsrevisioner av era kritiska leverantörer. Begär in bevis på att de lever upp till era minimikrav. Uppvisar en leverantör ett certifikat som till exempel ISO270001 så granska omfattningen att det täcker hela verksamheten samt begär in deras SOA för att se omfattningen av deras säkerhet. Detta är extra viktigt för de som berörs av NIS2/DORA som ställer krav på hela verksamheten.

3. Bygg motståndskraft

När er leveranskedja utvecklas måste ni fortsätta att förbättra och upprätthålla säkerheten kontinuerligt.

3.1 Skapa processer för hanteringen av leveranskedjan

  • Kräv att de leverantörer som är viktiga för säkerheten i er leveranskedja, via kontrakt, tillhandahåller uppåtgående rapportering av säkerhetsprestanda och att de följer alla riskhanteringspolicyer och processer.

  • Bygg in “revisionsrätten” i alla kontrakt. Det är er rätt att kräva bevis på att vad leverantören påstår stämmer. Använd denna rätt systematiskt under hela avtalstiden.

  • Bygg in säkerhetskrav som säkerhetsdeklaration, penetrationstester, extern granskning eller formella säkerhetscertifieringar i processen, där det är motiverat.

  • Upprätta nyckeltal för att mäta resultatet av er säkerhetshanteringspraxis i leveranskedjan.

  • Granska resultat och lärdomar och agera utifrån dem.

  • Uppmuntra leverantörer att främja god cyberhygien.

3.2 Uppmuntra kontinuerlig förbättring

  • Uppmuntra era leverantörer att fortsätta förbättra sin cybersäkerhetsförmåga och cyberhygien och betona hur detta kan göra det möjligt för dem att konkurrera om och vinna framtida kontrakt med er och andra.

  • Ge råd och stöd till era leverantörer när de försöker göra dessa förbättringar.

  • Undvik att skapa onödiga hinder för förbättringar: bekräfta befintliga säkerhetsrutiner eller certifieringar som leverantörer kan ha som kan visa hur de uppfyller era minimikrav på säkerhet.

  • Ge era leverantörer tid att uppnå säkerhetsförbättringar, men kräv att de ger er tidsplaner och specifikationer som visar hur de tänker uppnå dem.

  • Lyssna på och agera på eventuella problem som lyfts fram genom övervakning, incidenter eller uppåtgående rapportering från leverantörer, som kan tyda på att nuvarande metoder inte fungerar så effektivt som planerat.

3.3 Bygg förtroende hos leverantörer

Även om det är rimligt att förvänta sig att era leverantörer hanterar säkerhetsrisker i enlighet med avtalet, bör ni vara beredd att ge stöd och hjälp vid behov där säkerhetsincidenter riskerar påverka er verksamhet eller den bredare leveranskedjan.

  • Sträva efter att bygga strategiska partnerskap med viktiga leverantörer, dela problem med dem, uppmuntra och värdera deras input. Få deras acceptans för er strategi för cybersäkerhet i leveranskedjan, och se till att den tar hänsyn till deras behov såväl som era egna.

  • Låt dem hantera underleverantörer åt er, men kräv att de ger er lämplig rapportering för att tydliggöra säkerheten i dessa relationer.

  • Upprätthåll kontinuerlig och effektiv kommunikation med era leverantörer.

  • Se ”Supply chain management” som en gemensam fråga för er och era leverantörer.

Robert Willborg

Vad digital suveränitet faktiskt är

Suveränitet är inte geografiskt. Det är kontroll.

Robert Willborg

Från osäkerhetsekonomi till förtroende

En berättelse om en bransch som tappade kompassen.

Robert Willborg

Luftvärdighet för det digitala samhället

NIS2 vill att vi flyger säkert, inte fyller i papper.

Robert Willborg

EU Data Act

När EU bygger “nödutgångar” i era datakorridorer (och ingen har läst skyltarna än).
Gå till bloggsidan