Leveranskedja/supply chain är en viktig del av affärsverksamheten med många komplexa beroenden till komponenter och underleverantörer som kan sträcka sig över flera olika länder, råda under olika legala system och inte minst ha olika traditioner och ambition i sitt säkerhetsarbete. En underleverantör som inte anser sig vara säkerhetskritisk och som därför inte jobbar aktivt med sin säkerhet kan ge hackare många sårbarheter att utnyttja. Detta har resulterat i att attacker mot supply chain nu blir allt vanligare. Eftersom de både kan vara förödande och få långtgående konsekvenser behöver alla verksamheter helt enkelt se över sin säkerhet i supply chain.
Allt fler attacker mot säkerhet i supply chain
Eftersom företag inom IT allt oftare förlitar sig på extern programvara och tjänsteleverantörer, blir leveranskedjans motståndskraft kritisk. Leveranskedjan kan många gånger bilda komplexa nätverk av sammankopplade system och produkter på flera nivåer, där olika systemleverantörer är länkade till flera kunder och även till varandra. En attack mot bara ett av dessa system kan ha en direkt förgrening till ett stort antal företag. Om man tar i beaktande att många företag och IT-leverantörer idag är internationella, sprids effekterna från att vara en lokal och begränsad incident till att bli global på ett ögonblick.
Vid nerladdning av programvaruuppdateringar är det bra säkerhetspraxis att endast använda betrodda källor och verifiera integriteten i uppdateringarna genom att kontrollera för varje nedladdat programvarupaket att checksumman överensstämmer med checksumman som leverantören informerat om.
Men vad händer om någon manipulerar paketet genom att injicera annan programkod, som en bakdörr, ransomware eller annat skadligt innehåll i paketet, antingen hos programvaruleverantören eller i ett mellanled mellan leverantör och slutkund? För företag som använder eller tillhandahåller ett sådant programvarupaket till sina kunder verkar programvarupaketets integritet vara OK och innehållet pålitligt.
Supply chain-säkerhet – något väldigt viktigt
Supply chain-säkerhet är den del av supply chain management som fokuserar på riskhantering av externa leverantörer, återförsäljare, logistik och transport. Målet är att identifiera, analysera och mildra de risker som det innebär när man arbetar med andra organisationer som en del av en leveranskedja (supply chain). Supply chain-säkerhet innebär både fysisk säkerhet relaterad till produkter och cybersäkerhet för mjukvara och tjänster. De vanligaste riskerna med en supply chain är tredjepartsrisker, digitala risker och bedrägeri.
När man anlitar en tredjepartsleverantör utsätter man ofta sin organisation för betydande datasäkerhetsrisker. Anledningen är att dina tredjepartsleverantörer riskerar att inte ta cybersäkerhet på lika stort allvar som du gör, såvida du inte ställer sådana krav på dem. Digitala risker är den oundvikliga biprodukten av den digitala transformationen – ju fler digitala lösningar du lägger till ditt ekosystem, desto fler potentiella sårbarheter har cyberkriminella att utnyttja.
Hur skyddar jag mig mot supply chain-attacker?
Supply chain-säkerhet är något som man som organisation behöver arbeta kontinuerligt med. Här följer 7 råd!
1. Gör en riskanalys
Med en riskanalys blir det enklare att förklara och motivera de investeringar i säkerhet man vill göra eftersom man kan redogöra för vilka risker man åtgärdar eller reducerar.
Vilka är då stegen i en riskhanteringsprocess för supply chain?
Steg 1: Identifiera dina risker
Detta steg är inte helt lätt eftersom många underliggande faror i leveranskedjan är svåra att bedöma:
- Global ekonomisk instabilitet
- Ej rapporterade ekonomiska problem med partner/leverantör
- Framtida väder, klimatförändringar, naturkatastrofer och, ja, pandemier
Steg 2: Sammanställ riskpoäng
Det är viktigt att förstå dina risker och vilken inverkan den risken skulle ha på leveranskedjan. Som ett resultat är riskpoäng en utmärkt teknik för att få omedelbar insyn i vilka frågor som kräver mest uppmärksamhet.
Steg 3: Definiera dina mitigeringsstrategier och responsplaner
Att gå igenom alla möjliga scenarion och lista alla “what-ifs” kan verka tidskrävande, men det är den mest effektiva metoden för att garantera att alla förstår hur de ska reagera om framtida riskprognoser går i uppfyllelse.
Steg 4: Utveckla din Supply Chain Risk Management-plan
Din strategi bör vara grundlig och överväga all information du har samlat in genom tidigare steg. Varje företag kommer att utveckla sin egen unika riskhanteringsplan för att hantera sina egna unika risker, men dessa fem grundläggande metoder behövs i varje plan:
- Leta efter andra leverantörer
- Diskussioner med nyckelleverantörer
- Öka antalet möjliga leverantörer
- Inköp av mer komponenter
- Diskussioner med stora leverantörer
Efter denna initiala riskanalys kan man göra sin zonindelning, läs mer om detta!
2. Välj leverantör med omsorg
För att säkerställa att de lösningar man erbjuder sina kunder är säkra ingår att omvärldsbevaka efter publicerade sårbarheter som kan påverka säkerheten i lösningen. Upptäcker man något ska det incidenthanteras och åtgärder som reducerar eller tar bort risken ska utvecklas och implementeras. För att garantera att din informationssäkerhetslösning är säker är det därför viktigt att du säkerställer att din leverantör har ett arbetssätt som innebär att de tar sig an åtagandet att ta sitt digitala ansvar. Tillhandahåller de säkerhetsuppdateringar under hela produktens/tjänstens livslängd? Kan de ge dig en framtidsförsäkring? Det här är viktiga frågor som du bör ställa till din leverantör.
Läs mer om hur du tar digitalt ansvar och hur du får dina leverantörer att göra detsamma!
3. Gör säkra uppdateringar
Uppdateringar av Windows- och Linux-system är en viktig del i att kunna upprätthålla säkerheten för den digitala information som finns i dessa system. Uppdateringen kan dock innebära en säkerhetsrisk eftersom information importeras eller tillförs till systemet och det i sig kan medföra att man får in oönskad malware in i systemet. För att undvika det samt för att upprätthålla integriteten och tillgängligheten i systemen krävs speciella lösningar.
Läs mer om hur man gör säkra uppdateringar!
4. Använd antiviruslösningar
Genom att överföra filer mellan olika säkerhetsdomäner utsätter man integriteten och konfidentialiteten av det mottagande systemet för stor säkerhetsrisk. Att importera filer till en skyddad miljö öppnar helt enkelt upp för säkerhetsrisker om filerna inte genomgått en tillräcklig sanering innan de importeras. Detta eftersom skadliga program kan komma in i det känsliga nätverket där de kan de lyckas hämta information, ändra information eller använda lösensummor för att se till att information inte går att komma åt. För att undvika detta behöver man använda en lösning med antivirus skanning-funktion. Advenicas lösning heter File Security Screener, en produkt som avlägsnar de filkomponenter som inte är godkända enligt systemets definitioner och policys. Olika tekniker används för att identifiera skadlig kod, både klassisk signaturbaserad detektering men även så kallad CDR-teknik (Content Disarm and Reconstruction).
5. Använd nätverkssegmentering
Många verksamheter har en IT-arkitektur som grundar sig i system som designades för länge sedan. Ofta har arkitekturen sedan byggts ut med åren, samtidigt som det idag är vanligt att få aktuella uppgifter på till exempel sin elförbrukning, att beställa tjänster via webben 24/7 eller att jobba på distans. Resultatet är att olika sorters system såsom SCADA-system, affärssystem och webben är sammankopplade. Därför är det också svårt att ha överblick över hur många vägar det finns in till den skyddsvärda informationen. Nätverkssegmentering i datanätverk innebär att dela upp ett datanätverk i delnätverk, där var och en är ett nätverkssegment. Fördelarna med sådan splittring är främst för att förbättra prestanda och förbättra säkerheten. Oftast används en kombination av fysisk och logisk separation.
Fysisk separation innebär att säkerhetszoner definieras och fördelas på olika fysiska hårdvaror. Logisk separation innebär att olika zoner eller nätverkstrafik tillåts samexistera på samma hårdvara eller i samma nätverkskabel vilket gör den mindre tydlig och därmed medför lägre förtroende för separationsmekanismens styrka än vid fysisk separation.
Läs mer om hur du använder nätverkssegmentering!
6. Integrera IT med OT på ett säkert sätt
Historiskt har OT-system ofta varit helt bortkopplade från omvärlden. I takt med samhällets digitalisering har behovet att koppla samman OT med omvärlden ökat. IT och OT kopplas därför samman och ofta använder man samma typ av teknik inom IT och OT. De skilda behoven inom IT och OT leder lätt till tekniska konflikter som kan vara utmanande att hantera och kräver därför speciella lösningar.
Läs mer om hur du gör denna integration på ett säkert sätt, eller se vårt webinar om just detta!
7. Använd enkelriktad kommunikation med hjälp av datadioder
Många nätverk kräver ett extra skydd mot manipulation och dataläckage på grund av att de innehåller säkerhetsklassad eller känslig information. De kan därför komma att isoleras av säkerhetsskäl. Det kan ändå uppstå tillfällen när information måste skickas till eller från sådana nätverk. I de här fallen kan en datadiod vara till stor nytta. Datadioder, med sin höga assurans, erbjuder det nödvändiga skyddet som innebär att det inte kan uppstå några informationsläckor. Användningsområdena varierar mellan att importera mjukvaruuppdateringar eller virusdefinitioner till att importera exempelvis OSINT-information eller sensordata till ett hemligt analysnätverk.
Läs mer om Advenicas datadioder!
Behöver du mer hjälp med hur du skyddar dig mot supply chain-attacker är du välkommen att kontakta oss!