Flere tusen ble ofre for det målrettede personsøker-angrepet i Libanon. Uansett hvem som står bak, understreker hendelsen behovet for sikkerhet i leverandørkjeden for oss alle. Spesielt for kritiske virksomheter som kan være mål for spionasje eller sabotasje.
Svikt i leverandørkjeden har skjedd andre før
Hendelsen i Libanon er brutal, men det er ikke første gang svikt i leverandørkjeden har gitt konsekvenser for noen.
Da den amerikanske IT-teknikeren Edward Snowden lekket hemmeligstemplede dokumenter fra amerikansk etterretning gjennom Wikileaks i 2013-2014, kom det ifølge boken No place to hide av Glenn Greenwald frem at den amerikanske offentlige sikkerhetsorganisasjonen NSA (National Security Agency) hadde installert det de kalte «beacon implants» i fastvaren til Cisco-nettverksutstyr. Disse skulle enten fungere som en slags bakdør eller sende kopi av trafikk som passerte gjennom nettverksutstyret til NSA.
I dette tilfellet inneholdt lekkasjen detaljer om at det var forsendelser som ble avskåret og tatt med til NSAs fasiliteter for å gjennomgå modifikasjonene, før utstyret ble pakket pent ned igjen og sendt til mottageren som om ingenting hadde skjedd.
Har vi god nok kontroll på sikkerheten?
Leverandørkjeden er generelt sårbar og vanskelig å sikre. Dessverre må vi regne med at vi ikke kommer utenom en viss grad av risiko herfra. Driver du en virksomhet, er sjansen stor for at du enten har bedriftshemmeligheter, børssensitiv informasjon eller personinformasjon noen kan være interessert i å spionere på. Eller virksomheten kan ha en funksjon noen kan være interessert i å sabotere.
I lang tid ble det installert utstyr fra det kinesiske industrikonsernet Huawei i basestasjonene som gir 4G mobilnett til befolkningen her i Norge. I 2019 hindret regjeringens nye sikkerhetslov Huawei i å bli eneleverandør av mobilnett i Norge. Det meste av sivil kommunikasjon er avhengig av mobilnettet, og dette er svært kritisk infrastruktur. Det er ingen grunn til å tro at ikke teleselskapene, som seriøse samfunnskritiske aktører, tok sine forholdsregler mot risikoer forbundet med leverandørkjeden sin, men det er ikke nødvendigvis alle virksomheter som hadde utvist samme aktsomhet.
Så, stoler du blindt på leveransene dine?
Kommende krav til norske virksomheter
Det såkalte NIS2-direktivet trer snart i kraft i EU. Sikkerhetsdirektivet stiller en rekke krav til at virksomheter som er definert som essensielle eller kritiske, må risikovurdere og ivareta sikkerheten i leverandørkjeden sin.
Selv om Norge ligger litt etter med å få det inn i lovverket, bør norske virksomheter begynne å jobbe etter det nye direktivet allerede i dag. Lovteksten sier blant annet at:
- Medlemsland skal påse at alle essensielle og kritiske virksomheter foretar tekniske, operasjonelle og organisatoriske risikoreduserende tiltak som inkluderer leverandørkjede-sikkerhet.
- Det gjelder også forholdet mellom virksomheten og hver leverandør, sårbarhetene til hver leverandør, kvaliteten på produktet og cybersikkerhetsregimet til leverandøren og deres underleverandører.
- Landene skal også ta i betraktning risikovurderinger av leverandører som EU koordinerer.
Hvilke tiltak som er passende for hver virksomhet, sier ikke lovteksten noe om. Og hver virksomhet må selv risikovurdere omfanget av tiltakene som må gjøres. Derfor er det svært viktig å ha en god og fullstendig risikovurdering som inkluderer sikkerhet i leverandørkjeden.
Dette bør norske virksomheter gjøre nå
Her er fem råd norske virksomheter må være oppmerksomme på før det nye direktivet trer inn:
- Velg leverandører etter en grundig bakgrunnssjekk og risikovurdering.
- Gå i dialog med leverandører for å få innsyn og påse at de har gode sikkerhetsrutiner.
- Identifiser sårbarheter hvor sikkerhet i leverandørkjeden er kritisk.
- Inspiser leveranser og test kritisk utstyr.
- Ha system for sikker fjerntilgang for leverandører, samt følgetjeneste ved fysisk tilgang.
Nylig sendte Justis- og beredskapsdepartementet i Norge forslag til forskrift til digitalsikkerhetsloven, som er basert på NIS1, ut på høring. Forslaget er fortsatt basert på NIS1, men tar også inn noen elementer fra NIS2, blant annet om varslingsplikt og leverandørkjedesikkerhet. Her i Norge er det digitalsikkerhetsloven virksomheter skal forholde seg til, men NIS2 som helhet vil i all sannsynlighet komme inn i norsk lovverk etter hvert.
Blir direktivet brukt riktig, vil det bidra til å minimere risikoen i leverandørkjeden for norske virksomheter.