I Næringslivets Sikkerhetsråd sin nylig utgitte Beredskapsundersøkelse oppgir 24 prosent at de er leverandører til virksomheter som er underlagt sikkerhetsloven.
En utfordring i denne sammenhengen er at hele 31 prosent, av virksomhetene som er spurt i undersøkelsen, svarer at de ikke vet hvorvidt de er leverandører til virksomheter underlagt sikkerhetsloven.
Dette er en uheldig tendens, men det er viktig å påpeke at feilen ikke ligger hos underleverandører som ikke vet. Den ligger hos virksomhetene underlagt sikkerhetsloven som ikke informerer og setter tydelige krav til sine underleverandører. Hvorfor er dette egentlig et problem?
En kjede er aldri sterkere enn sitt svakeste ledd
De aller fleste virksomheter har verdier de ønsker å beskytte. Som regel settes de ansattes liv og helse først. Og deretter kommer gjerne dyre anleggsmaskiner, store og flotte bygg, sensitive dokumenter eller for eksempel bedriftens omdømme. Alle disse verdiene ønsker man som virksomhet å beskytte, vedlikeholde og oppdatere. Mens man før i tiden gjerne hadde egne ansatte som drev kantinen og hadde ansvar for renhold, er det nå mye vanligere at dette settes ut til andre virksomheter, altså en underleverandør. Når en virksomhet setter ut en tjeneneste til en underleverandør vil denne leverandøren også ha et flertall av underleverandører. Dette skaper lange og uoversiktlige leverandørkjeder som kan skape sårbarheter, fordi, som vi vet, en kjede er aldri sterkere enn sitt svakeste ledd.
Solar Winds eksempelet
Dette er det dessverre flere virksomheter som har fått erfare. Et godt brukt eksempel er det amerikanske IT-selskapet Solar Winds hvor en trusselaktør klarte å etablere en bakdør i et av programvarene de selger. Denne bakdøren ble ikke oppdaget og var inkludert i en oppdatering som Solar Winds selv tilgjengeliggjorde for sine over 18 0000 kunder. Det tok lang tid før bakdøren ble oppdaget og innen den tid hadde trusselaktøren fått tilganger hos kunder som blant annet amerikanske myndighetsorganer og store teknologiselskaper. Det positive ved denne hendelsen var at man ble mer obs på en ny måte å angripe virksomheter på; nemlig lange leverandørkjeder.
Tillit og kjennskap
Ifølge NSM er det sannsynlig at slike leverandørkjedeangrep vil øke i tiden fremover. Det finnes flere tiltak en virksomhet kan gjennomføre for å bedre sikre sine leverandørkjeder. NSMs anbefaling er segmentering av nettverk. Kort forklart vil det si en oppdeling av nettverket i ulike segmenter, slik at underleverandører kun får tilgang til det ytterst nødvendige. Kryptering av kommunikasjon på tvers i bedriften er et annet sikringstiltak. Når man snakker om leverandørkjeder er tillit og kjennskap et nøkkelord. Det vil si at man har såpass god kjennskap og dialog med leverandøren slik at man blir informert ved eventuelle oppkjøp eller bytte av deres underleverandører igjen. Et godt eksempel på dette er Bergen Engines som ble forsøkt solgt til det russiske selskapet TMH International, hvor to av de største eierne er russiske oligarker som antas å ha nære forbindelser til Kreml og president Vladimir Putin. Selskapet leverer teknologi og motorer til bla. det norske sjøforsvaret, og eksempelet viser tydelig hvordan underleverandørers handlinger kan få følger for kunder. I dette tilfellet stanset Regjeringen salget av fabrikken med grunnlag i sikkerhetsloven.
Det ligger altså et stort ansvar i avtaleinngåelse med underleverandører. At 31 prosent av respondentene til NSRs beredskapsundersøkelse ikke visste hvorvidt de er leverandører til virksomheter som er underlagt sikkerhetsloven er svært uheldig. Vi bør ta lærdom i eksempelet Bergen Engines, både for virksomheter og for myndighetene. Målet i leverandørkjedeangrep er sjeldent første ledd, derfor er dialog og kjennskap mellom kunde og leverandør et svært viktig tiltak slik at man sammen kan bygge en sterkere kjede.
