En undersøkelse viser at leverandører er det svakeste leddet i cybersikkerheten til norske virksomheter. Både leverandører og leverandørers underleverandører kan være den største risikoen for it-sikkerheten for virksomheter. Seks av ti cyberangrep rettes mot leverandører og rammer dermed også deres kunder.
Undersøkelsen viser også at mange har lite kontroll på it-sikkerheten til leverandørene. Min erfaring er at det fokuseres oftest på funksjonalitet og kostnadseffektivitet, mens sikkerheten ofte kommer i andre rekke. Men valg av feil leverandør kan få alvorlige konsekvenser ved utilgjengelige it-systemer og tap av data, og dermed tap av kunder og omsetning, samt omdømmetap/tapt tillit. I verste fall det føre til konkurs eller nedleggelse.
Ikke ubegrenset ansvar
Valg av leverandør er derfor ofte kritisk, og det er ikke nok å stole på at leverandøren tar ansvar. Leverandørene fraskriver seg i stor grad ansvaret for kundenes tap og kostnader i avtalene. Dette er naturlig og vanlig, siden leverandøren kan vanskelig påta seg ubegrenset ansvar. Men da får en heller ikke dekket samtlige krav i ettertid. Som de sier: «Man kan outsource alt utenom ansvaret».
Det viser en nylig sak hvor en virksomhet krevde 4,6 millioner kroner for tap som følge av at leverandøren ble utsatt for løsepengevirus, men endte opp å motta kun cirka 60.000 kroner i erstatning og måtte i tillegg dekke saksomkostninger til leverandøren på nær 800.000 kroner.
I en annen sak måtte en bedrift permittere alle ansatte og kan tape cirka 8 millioner kroner etter at leverandøren ble angrepet av løsepengevirus. Jeg vil tro at det er lite å hente hos leverandøren også her. Og det er mange flere eksempler på dette, og flere blir det dessverre.
Brukte 180 timer på å rette opp – men retten mener de ikke har lidd noe tap
Mindre kritiske enn ved ansettelser
Ironisk nok ser det ut til at det legges mindre vekt på en kritisk vurdering av leverandører, sammenlignet med ansettelse av medarbeidere. Ved ansettelse gjennomføres det flere intervjuer og referanser kontrolleres, kandidater testes til og med. Det legges ofte mindre innsats i vurderingen av alternative leverandører og i å kontrollere om leverandøren gjør nok for å sikre kundens systemer og data.
Etter GDPR art. 28 skal det kun benyttes databehandlere som gir tilstrekkelige garantier for it-sikkerheten, dvs. de må være pålitelige. Er ikke databehandleren til å stole på, har man selv ansvaret for konsekvensene som kan bli kostbart for eksempel ved bøter etter GDPR.
Dette er ikke nok å stole på at leverandøren sørger for sikkerheten. Man må undersøke selv og være kritisk. Kunden må selv eie risikovurderingen. Det må kreves at leverandøren dokumenterer implementerte sikkerhetstiltak og rutiner som er etablert, både for leverandøren selv og for underleverandører. Dokumentasjonen må dekke både tekniske forhold og tiltak for personell. Enhver seriøs aktør bør kunne fremlegge tilstrekkelig dokumentasjon raskt. Blir ikke dokumentasjon fremlagt på en tillitsvekkende måte, er kanskje ikke dette leverandøren man bør satse på.
Innlegget er tidligere publisert på Jan Sandtrøs Linkedin-side.
Reuters: Enkelt å kompromittere forsyningskjeden til elektronikk
