Professor: De fleste cyberangreb vil ske via forsyningskæden 

Ifølge Michael Herburger, der netop har skrevet phd-afhandling om cybersikkerhed i værdikæder, var det først i 2016, at verden for alvor fik øjnene op for, at der også er store cyberrisici forbundet med virksomhedernes værdi- og forsyningskæder.

“I dag er det jo den primære indgang for hackere, der gerne vil ind i de store virksomheder,” fortæller han.

“Pandemien og krigen mellem Rusland-Ukraine har i den grad været en øjenåbner ift. sårbarhederne i virksomhedernes eksterne netværk, og antallet af cyberangreb er steget eksplosivt.”   

Opbyg viden om cyberangreb internt  

Ifølge Michael Herburger er den største trussel mod de små- og mellemstore virksomheder (selv)opfattelsen af, at de ikke er interessante for cyberkriminelle – og deres cybersikkerhed således bliver derefter.  

“Den opfattelse eksisterer i bedste velgående, og den skal virksomhederne tage et opgør med. I min optik er trusselsbilledet det samme uanset, om man er en stor eller mindre virksomhed. Det væsentlige her er konteksten.”  

“De små virksomheder har begrænsede menneskelige ressourcer og budget – ofte er it og sikkerhed outsourcet. Det betyder, at de mangler denne her viden internt. Det har så også den konsekvens, at det er svært for virksomhederne at evaluere de firmaer, de outsourcer it-sikkerhed til. Er de i overhovedet i stand til at sikre det værn, der er nødvendigt i dag? Er det en såkaldt state-of-the-art-løsning, de tilbyder? Der er svært at benchmarke her, når man ikke har nogen viden internt at trække på.”  

“Virksomhederne er enormt afhængige af deres partner samtidig med, at de ikke er i stand til at evaluere området internt. Det er en stor udfordring.” 

Udpeg en ansvarlig

Dermed opfordrer professoren også til, at virksomhederne opbygger den viden internt: 

“Der er nødt til at være en person i virksomheden, som har overblikket. Én, som er dybt nede i det her område, for konsekvenserne ved ikke at være det, er så store” siger han.  

Kan du uddybe de konsekvenser?  

“Lad mig give et eksempel her fra Østrig, hvor hackere har infiltreret en sårbarhed hos et it-sikkerhedsfirma, der lever af at tilbyde it-sikre løsninger. Firmaet er en SMV, og kunderne er også SMV’er. Angrebet, de blev udsat for, var et klassisk ransomware-angreb, og 37 kunder blev ramt, dvs. deres drift blev indstillet i op til to uger.”   

“Et af de firmaer, der blev berørt, var et højt-automatiseret fiske-fodringsfirma, som er dybt afhængig af deres OT-system (Operational Technology system, der omfatter hardware- og softwaresystemer, som bruges til at overvåge og administrere fysiske processer og enheder i industrielle og kritiske infrastrukturmiljøer red.).  

“Da det system blev lagt ned, blev konsekvensen meget tydelig, fordi pludselig ikke var fisk i køledisken i supermarkedet. Når et cyberangreb rammer på den måde, er det jo ikke kun tilgængeligheden, der bliver ramt – det er hele virksomhedens integritet, fortrolighed og omdømme, der er på spil,” fortæller Michael Herburger.   

Kortlæg netværket af leverandører  

“Enhver virksomhed bør starte med gå værdi- og forsyningskæden grundigt igennem. De fleste kender kun deres kunder og leverandører. Men de aner ikke, hvem der står bag dem. Her skal man være opmærksom på, hvem der er de mest relevante partnere ift. cybersikkerhed. Hvilke data deler vi med hvilke leverandører? Er det kun e-mailkorrespondancer, eller hvor integrerede er vi egentlig, og hvilke cyberrisici er der i hele produktets livscyklus.” 

Er man på udkig efter nye leverandører eller samarbejdspartnere bør cybersikkerhed også være en del af samtalen. 

“Det at lave en klar forventningsafstemning på området er klart nemmere at gøre i starten af en samarbejdsrelation frem for at efterhæve kravene,” siger Michael Herburger.  

“De fleste virksomheder kender i dag de typiske sårbarheder, ransomware, phishing, CEO-fraud osv. Spørg de vigtigste leverandører og samarbejdspartnere ind til det her, hvor modne er de, har de certifikater eller handleplaner på området? Det er vigtigt at få afklaret,” siger Michael Herburger.