DEBATT

Det er meget høy risiko ved å bruke feil leverandør

Kunden må selv eie risikovurderingen og kreve at leverandøren dokumenterer implementerte sikkerhetstiltak og rutiner som er etablert, både for leverandøren selv og for underleverandører, skriver advokat Jan Sandtrø i dette debattinnlegget.

Advokat Jan Sandtrø mener det er både vanlig og naturlig leverandører i avtalene i stor grad fraskriver seg ansvaret for kundenes tap og kostnader.
Advokat Jan Sandtrø mener det er både vanlig og naturlig leverandører i avtalene i stor grad fraskriver seg ansvaret for kundenes tap og kostnader. Foto: Calle Huth/Studio Illegal
Jan Sandtrø, uavhengig advokat
30. okt. 2023 - 14:33

En undersøkelse viser at leverandører er det svakeste leddet i cybersikkerheten til norske virksomheter. Både leverandører og leverandørers underleverandører kan være den største risikoen for it-sikkerheten for virksomheter. Seks av ti cyberangrep rettes mot leverandører og rammer dermed også deres kunder.

Undersøkelsen viser også at mange har lite kontroll på it-sikkerheten til leverandørene. Min erfaring er at det fokuseres oftest på funksjonalitet og kostnadseffektivitet, mens sikkerheten ofte kommer i andre rekke. Men valg av feil leverandør kan få alvorlige konsekvenser ved utilgjengelige it-systemer og tap av data, og dermed tap av kunder og omsetning, samt omdømmetap/tapt tillit. I verste fall det føre til konkurs eller nedleggelse.

Ikke ubegrenset ansvar

Valg av leverandør er derfor ofte kritisk, og det er ikke nok å stole på at leverandøren tar ansvar. Leverandørene fraskriver seg i stor grad ansvaret for kundenes tap og kostnader i avtalene. Dette er naturlig og vanlig, siden leverandøren kan vanskelig påta seg ubegrenset ansvar. Men da får en heller ikke dekket samtlige krav i ettertid. Som de sier: «Man kan outsource alt utenom ansvaret».

Det viser en nylig sak hvor en virksomhet krevde 4,6 millioner kroner for tap som følge av at leverandøren ble utsatt for løsepengevirus, men endte opp å motta kun cirka 60.000 kroner i erstatning og måtte i tillegg dekke saksomkostninger til leverandøren på nær 800.000 kroner.

I en annen sak måtte en bedrift permittere alle ansatte og kan tape cirka 8 millioner kroner etter at leverandøren ble angrepet av løsepengevirus. Jeg vil tro at det er lite å hente hos leverandøren også her. Og det er mange flere eksempler på dette, og flere blir det dessverre.

Joachim Stenhjem i Sopra Steria slår et slag for IEC 62443 i denne kronikken. Det er et rammeverk som tilbyr retningslinjer og beste praksis for å beskytte kritiske industrisystemer mot cybertrusler og -angrep.
Les også

Milliontap bør være et varsel til alle som jobber med IT og OT

Mindre kritiske enn ved ansettelser

Ironisk nok ser det ut til at det legges mindre vekt på en kritisk vurdering av leverandører, sammenlignet med ansettelse av medarbeidere. Ved ansettelse gjennomføres det flere intervjuer og referanser kontrolleres, kandidater testes til og med. Det legges ofte mindre innsats i vurderingen av alternative leverandører og i å kontrollere om leverandøren gjør nok for å sikre kundens systemer og data.

Etter GDPR art. 28 skal det kun benyttes databehandlere som gir tilstrekkelige garantier for it-sikkerheten, dvs. de må være pålitelige. Er ikke databehandleren til å stole på, har man selv ansvaret for konsekvensene som kan bli kostbart for eksempel ved bøter etter GDPR.

Dette er ikke nok å stole på at leverandøren sørger for sikkerheten. Man må undersøke selv og være kritisk. Kunden må selv eie risikovurderingen. Det må kreves at leverandøren dokumenterer implementerte sikkerhetstiltak og rutiner som er etablert, både for leverandøren selv og for underleverandører. Dokumentasjonen må dekke både tekniske forhold og tiltak for personell. Enhver seriøs aktør bør kunne fremlegge tilstrekkelig dokumentasjon raskt. Blir ikke dokumentasjon fremlagt på en tillitsvekkende måte, er kanskje ikke dette leverandøren man bør satse på. 

Innlegget er tidligere publisert på Jan Sandtrøs Linkedin-side.

Det er mange virksomheter i Norge som ennå ikke har kontroll på NIS2-direktivet, skriver Petter Glenstrup i Arctic Wolf.
Les også

– NIS2 handler om én ting: Overvåkning. Holistisk, fantastisk dataovervåkning

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.