Samhällskritiska branscher befinner sig i en kapprustning mot cyberhot. En ny rapport från DNV Cyber, baserad på en global undersökning, visar att cyberkriminella och nationsaktörer i allt större utsträckning riktar in sig på digitala sårbarheter hos leverantörer kopplade till dessa branscher. Detta kräver skärpta säkerhetsåtgärder och en ökad medvetenhet om riskerna.
Rapporten visar att endast hälften (53 procent) av de yrkesverksamma inom kritisk infrastruktur känner sig säkra på att deras organisation har full insyn i de cybersäkerhetsrisker som deras leverantörskedja potentiellt utsätter verksamheten för. Över en tredjedel (36%) av de tillfrågade misstänker att cyberangripare kan ha infiltrerat deras leverantörskedja utan att leverantörerna själva har rapporterat det. Denna brist på insyn ökar risken för omfattande cyberattacker via anslutna nätverk, komponenter, mjukvara eller tredjepartsleverantörer.
”Du kan inte säkra det du inte känner till. Organisationer måste få en bättre förståelse för sårbarheterna i sina leverantörskedjor och använda metoder som ger större tillsyn över leverantörerna. För att stärka säkerheten i leverantörskedjan bör de bättre hantera cybersäkerhetskrav i upphandlingar och leverantörsavtal, öka fokus på säkerhet i utformningen av processer och tillgångar, och involvera cybersäkerhetsteam tidigare i projekt. Kontinuerlig testning samt förmåga att upptäcka och agera är avgörande för att identifiera och minska effekterna av intrång via leverantörskedjan”, säger Marek Rejmer, Director of Identity and Access Management på DNV Cyber.
Leverantörskedjor är ett attraktivt mål för cyberattacker eftersom de kan utgöra en gemensam attackvektor till flera organisationer och system, inklusive kritisk infrastruktur. Tidigare attacker, som de mot Kaseya (2021) och SolarWinds (2020), har tydligt visat hur sårbara leverantörskedjor kan vara och vilka omfattande konsekvenser dessa kan få. Kaseya-attacken drabbade även svenska företag, särskilt inom detaljhandeln, vilket understryker vikten av att stärka säkerheten i hela leverantörskedjan.
Organisationer som driver kritisk infrastruktur investerar alltmer i cybersäkerhet och vidtar åtgärder för att säkra IT och OT (Operational Technology). Trots dessa investeringar varnar DNV Cyber för att dessa insatser riskerar att vara otillräckliga om inte cybersäkerheten i organisationens leverantörskedja stärks på liknande sätt. För detta krävs att cybersäkerhet finns med redan i upphandlingar och leverantörsavtal. Dessutom krävs ett strukturerat arbetssätt med kontinuerlig testning för att hela tiden kunna förhindra, upptäcka och agera på eventuella hot.
Skärpta regleringar ett viktigt svar på växande hot
Regleringar är den största drivkraften för investeringar i cybersäkerhet inom kritisk infrastruktur. EU:s NIS2-direktiv, som implementeras i Sverige tidigast under sommaren, och Cyber Resilience Act (CRA) är viktiga exempel på hur regeringar skärper kraven för att stärka säkerheten i leverantörskedjan och minska riskerna. Här handlar det om att inte bara uppfylla kraven i regleringarna utan att fortlöpande agera efter dem och helst göra mer än vad som krävs.
Samarbete och standardisering nyckeln till ökad motståndskraft
För att effektivt kunna möta de växande cyberhoten är samarbete och standardisering avgörande. Företag bör ligga steget före regleringarna och aktivt delta i gemensamma insatser för att utveckla och implementera bästa praxis. DNV Cybers forskning visar att hela 93 procent av de yrkesverksamma inom kritisk infrastruktur anser att det behövs mer samordning för att säkerställa gemensamma tillvägagångssätt för cybersäkerhet.
Utöver att säkra leverantörskedjorna visar DNV Cybers Cyber Priority-undersökning även att kritiska infrastrukturbranscher bör prioritera att stärka OT-säkerheten, öka medvetenheten och vaksamheten hos de anställda, bygga en stark cybersäkerhetskultur och påskynda användningen av AI inom arbetet.
Källa: DNV
