Informationssäkerhet måste skapas längs hela leverantörskedjan

I en tid av ökad digitalisering och allt mer komplexa hotbilder är kontroll av leverantörskedjor kritiskt för att skydda samhällsviktig verksamhet. Eftersom dagens tekniska produkter kan innehålla tusentals fysiska komponenter med olika ursprung innebär detta en stor utmaning. På motsvarande sätt består digitala system i regel av ett stort träd av mjukvara, där varje uppdatering utgör en ny leverans med möjlighet för skadlig kod att infiltrera systemet.

Stor skada

Ett exempel på hur bristande leverantörskontroll kan få allvarliga konsekvenser är den så kallade SolarWindsattacken. Genom en mjukvaruuppdatering spreds skadlig kod globalt, vilket resulterade i omfattande säkerhetsrelaterade och ekonomiska skador, enligt vissa bedömare upp emot 100 miljarder USD.

— För att skapa robusta säkerhetslösningar krävs både ett helhetsperspektiv och noggrann kontroll på detaljnivå, exempelvis genom att säkerställa spårbarhet och säkerhet i hela leverantörskedjan. Det kan innebära högre initiala kostnader, men det är en investering som betalar sig på lång sikt, säger Thomas.

Efterlevnad av EU-krav

Kontroll av leverantörskedjor ingår i det nya EU-direktivet NIS2. Enligt detta är svenska företag och myndigheter med samhällsviktiga funktioner tvungna att vidta tekniska och organisatoriska åtgärder, rapportera allvarliga incidenter till MSB och samarbeta med andra aktörer för att hantera hot. Bristande efterlevnad kan leda till höga böter.

Trygghet och tillit

Sectra har lång erfarenhet av att utveckla system och produkter för att hantera säkerhetsklassad information inom myndigheter och andra kritiska verksamheter. Genom att kombinera teknisk spetskompetens med djup insikt i kundernas behov och hotbilder erbjuder Sectra lösningar, kunskap och stöd.

För att minimera säkerhetsrisker och bygga suveränitet, resiliens och självförsörjningsgrad är det effektivt att förlägga tillverkning, mjukvaruutveckling och servrar inom EU. Myndigheter samarbetar ofta med nationella företag för ökad tillförlitlighet och enklare kontroll. Viss säkerhetsklassad information måste dessutom enligt lag hanteras inom landets gränser av granskad och godkänd utrustning och personal.

För att få full kontroll på alla led i leverantörskedjan är det också viktigt att använda Bill of Materials (BOM). Dessa ger en detaljerad förteckning över vilka mjukvaru- och hårdvarukomponenter som ingår i ett system, vilket underlättar identifiering av sårbarheter och spårning av komponenternas ursprung. Genom att arbeta metodiskt med BOM kan man minimera risker med inbäddad skadlig kod och säkerställa att leverantörer följer relevanta standarder.

—Tillit är en grundbult för alla företag och därför är transparens och bra krishantering så viktigt. Effektiv leverantörskontroll är ett sätt att minimera risken för att man ska hamna där överhuvudtaget, avslutar Thomas.

Läs mer om Sectra här.