När allt fler industriföretag digitaliserar sin verksamhet och kopplar upp produkter, system och dataflöden, blir leverantörskedjan en allt större attackyta. En svaghet hos en tredjepart kan snabbt sprida sig in i kärnan av ett företags affärsprocesser. Men hur ska man egentligen arbeta strukturerat och effektivt med tredjepartsrisker – särskilt i en komplex industriell verklighet? I den här artikeln diskuterar Robert Mungenast, CISO på Electrolux, tillsammans med Jonas Stewén, VD på Secify.
Vad innebär tredjepartsrisker?
Tredjepartsrisker uppstår när externa leverantörer, underleverantörer eller andra externa aktörer får tillgång till – eller påverkar – ett företags digitala miljö. Det kan handla om allt från mjukvaruleverantörer och molntjänster till tillverkare av uppkopplade komponenter eller IT-konsulter.
Eftersom många verksamheter idag är beroende av externa aktörer för allt från drift till datalagring, innebär det att säkerhetsnivån i leverantörsledet blir en förlängning av det egna skyddet. Om en underleverantör har svagheter i sina system, processer eller personalrutiner, kan det leda till att en angripare får tillgång till ditt företag – trots att dina egna system är säkra.
Tredjepartsrisker är därför inte bara ”deras problem” – de är en integrerad del av det egna säkerhetsansvaret.
Ett växande ansvar – och en praktisk utmaning
Robert Mungenast beskriver arbetet med leverantörer som ett av de mest omfattande och utmanande säkerhetsområdena:
– Vi har mellan fem- och tiotusen leverantörer globalt. Det är helt avgörande att vi arbetar riskbaserat, dvs att vi fokuserar på var de största hoten och exponeringarna finns. Men det är lättare sagt än gjort, och vi är inte i mål än.
Företaget använder automatiserade verktyg för att löpande scanna angriparytan hos ett urval av sina viktigaste leverantörer, och har även byggt upp rutiner för kontakt vid incidenter. Men enligt Robert är det just incidenter kopplade till tredjepart som utgör majoriteten av de störningar som påverkar deras affärsprocesser – vilket visar hur kritiskt området är.
Jonas Stewén lyfter en viktig poäng: branschen förlitar sig ofta på certifieringar, policies och standarder som ett slags kvitto på säkerhet – men det är inte alltid de speglar verkligheten.
– Man säger att en leverantör har ett ISO-certifikat eller en SOC 2-rapport. Men gång på gång ser vi att informationen inte hanterats på det sätt som dokumentationen säger. Vi måste börja fokusera mer på funktionella bevis – hur gör ni det här i praktiken?
För att undvika att alla företag behöver bygga stora interna team för att hantera leverantörsrisker, menar Jonas att det behövs en förflyttning av ansvaret: leverantörer måste visa transparens i sina processer och bevisa säkerhet – inte bara intyga den.
Varför sker så många incidenter i leverantörskedjan?
Att just tredjepart ofta är källan till IT-incidenter beror på flera faktorer:
- Bristande insyn: Företag har sällan full insyn i hur leverantörer hanterar data, säkerhet eller incidenter. Det gör det svårt att upptäcka och reagera i tid.
- Komplexitet: Många leverantörskedjor är långa och invecklade – en leverantör har egna underleverantörer, som i sin tur har ytterligare partners. Det ökar osäkerheten.
- Ojämlika resurser: Mindre leverantörer har kanske inte samma säkerhetsbudget eller kompetens som sina större kunder, vilket skapar svaga länkar i kedjan.
- Standardlösningar utan uppföljning: Många företag förlitar sig på mallar, checklistor eller certifikat utan att granska om säkerheten faktiskt fungerar i praktiken.
Resultatet blir att incidenter hos leverantörer ofta slår direkt mot kundens verksamhet – och det är där effekten syns. Därför är det avgörande att arbeta proaktivt, bygga relationer, följa upp löften och, i bästa fall, samarbeta med andra aktörer som granskar samma leverantörer.
Samarbete är vägen framåt
Även stora bolag som har resurser att jobba med tredjepartsgranskning känner att de inte räcker till. Robert lyfter vikten av att industrin samarbetar:
– Alla stora företag gör samma typ av granskningar – på samma leverantörer. Vi måste börja samverka mer. Om jag granskar en leverantör, varför inte dela resultatet med andra i ett nätverk?
Han efterlyser branschgemensamma initiativ där flera bolag går ihop och delar granskningsresultat, bygger tillit och skapar gemensamma krav. Säkerhet betraktas allt mindre som ett konkurrensmedel – snarare som en gemensam försvarslinje.
Jonas håller med:
– Vi måste sluta se varandra som konkurrenter i det här sammanhanget. Hotaktörerna är våra gemensamma motståndare – inte varandra. Det är som att se grannens hus brinna och vänta tills ditt eget tar fyr innan du agerar. Vi borde hjälpa varandra istället.
Ett av de största hindren för att lyckas med gemensamma initiativ är den bristande tilliten mellan aktörer, menar båda. Att bygga upp nätverk där information om sårbarheter, incidenter och granskningar delas kräver mod – men är nödvändigt för att industrin som helhet ska kunna stå emot de ökande hoten.
– Många vet inte ens vilka deras ”kompisar” i branschen är när det gäller säkerhet. Det behöver vi börja med. Säkerhetsfrågan kräver nya samarbeten – bortom affärer och konkurrens.
