28-02-2023

Still høye krav til underleverandørene

Det hjelper lite å sikre seg, hvis underleverandøren lar døren stå åpen.

Thomas Tømmernes
Thomas Tømmernes
Leder for IT-sikkerhet
Thomas Tømmernes

I de aller fleste situasjoner er det slik at de med best økonomi har mulighet, og kanskje også størst behov for å sikre seg mot tyver. Slik er det også når det kommer til investeringsviljen hos norske virksomheter.

Det skal gis en stor applaus til både IT-avdelinger og ikke minst ledelsen i mange av Norges største virksomheter, som begynner å få på plass både tidsriktige og motstandsdyktige løsninger. Men dette hjelper lite hvis underleverandørene ikke har den samme bevisstheten på sikkerhet.

Et svakt punkt

Nasjonal sikkerhetsmyndig (NSM) sin rapport «Risiko 2023», er én av tre offentlige trussel- og risikovurderinger som utgis i første kvartal hvert år. Årets rapport kommer ut under en mer urolig og uforutsigbar sikkerhetspolitisk situasjon enn på mange år.

I rapporten peker NSM særlig på underleverandørens rolle, og at dette er et svakt punkt for mange virksomheter:

«De største selskapene og anleggene er kompliserte å angripe. Angrepsforsøkene vil derfor i økende grad gå mot underleverandører.»

En viktig påminnelse om at sikkerheten ikke blir bedre enn det svakeste leddet i en leverandørkjede.

Still krav

Når NSM rangerer denne angrepsformen så høyt, bør enhver både offentlig og privat virksomhet våkne opp. Her kan dere med hånden på NSMs rapport utfordre alle deres underleverandører. Noen underleverandører vil sannsynligvis slite med å dokumentere hvordan de ivaretar egen sikkerhet og hvilke tiltak de har gjort.

Min oppfordring til de som skal vurdere en underleverandør eller samarbeidspartner, er å kreve at de legger frem en modenhetsanalyse som bygger på NSMs grunnprinsipper. Da vil man kunne se at leverandøren har gjort en revisjon av egen sikkerhet, og vet hvor motstandsdyktig denne er opp mot samtidstrusselbilde. Det betyr at du får en helt annen innsikt i sikkerhetssituasjonen til de du benytter som underleverandører, og samtidig muligheten til å vurdere din egen risiko i samarbeidet.

La markedskreftene øke sikkerheten

Om alle virksomheter begynner å stille krav til underleverandørene, så vil dette naturligvis påvirke hvilke sikkerhetstiltak de innfører. I samme slengen blir langt flere norske virksomheter mer motstandsdyktige ovenfor hackere. Jeg vil tørre å påstå at hos virksomheter som ikke stiller disse kravene, der gjør ledelsen en dårlig jobb. Fordi guleroten med å påvirke markedet er enormt viktig. Både for den enkelt virksomhet, men også for samfunnet som helhet.

Inntil skrivelysten tar meg igjen, er jeg på landeveien med opplysningskampanjen sikkerhetsdagene i de fem største byene i Norge, og utfører min plikt som sikkerhetsevangelist.