Inköpande organisationers kritiska infrastruktur är i många fall i alltför hög grad beroende av nivån på dess leverantörers systematiska säkerhetsarbete. Flera uppmärksammade cyberincidenter har tydliggjort vikten av att kunder ställer tydliga krav på leverantörens systematiska säkerhetsarbete. Det är också av stor betydelse att leverantörer tar sitt ansvar genom att agera proaktivt, exempelvis via regelbundna intern- och externrevisioner.
I dessa tider av ”Zero Trust” kan man som kund inte outsourca säkerhetsansvaret för sin kritiska infrastruktur. Samtidigt kan och bör kunder vara medvetna om att leverantörer ofta utgör den största sårbarheten och att gränssnittet mellan kund och leverantör ofta är det första antagonister siktar in sig på.
–Som leverantör bör man vara självkritisk och ödmjuk inför sin del av ansvaret att skydda kundens kritiska infrastruktur. I det här sammanhanget byggs förtroenden genom att kontinuerligt och konkret kunna visa på faktisk handling i form av regelbundna revisioner, säger Markus Ekström, Security Compliance and Assurance Manager Nordics på ASSA ABLOY.
Fler leverantörer agerar proaktivt
–Nu sker en förflyttning där leverantörer, utöver att säkra upp den faktiska leveransen, även kontinuerligt säkrar upp ramverket som omgärdar den. På senare år har allt fler leverantörer tillämpat den här typen av proaktiva arbetssätt, vilket både handlar om att etablera och bibehålla ett långsiktigt förtroende mellan kund och leverantör och att visa att man är en seriös aktör som tar säkerhetsfrågan på största allvar, säger Markus Ekström.
Hans budskap till köpare är att börja ställa mer konkreta krav på sina leverantörers systematiska säkerhetsarbete och skydd av kritisk infrastruktur. Det gäller även långvariga leverantörer. Ett stort, välkänt och etablerat varumärke är heller ingen garant mot angrepp. Organisationens storlek eller varumärkets renommé korrelerar sällan med hur strukturerat och heltäckande leverantörens säkerhetsarbete är.
–Ställ specifika krav, exempelvis på hanteringen av den information leverantören hanterar för en kunds räkning. Ställ alltid krav på säker utveckling vid mjukvaruleverans och applikationer, säger Markus Ekström.
Samverkan snarare än misstro
–Det här bör inte uppfattas som att kunden visar misstro mot leverantören, det handlar om hur ni gemensamt ska kunna förekomma eventuella antagonister genom att täppa till de säkerhetsluckor som ofta uppstår i skärningspunkten mellan kund och leverantör, säger Markus Ekström.
Han rekommenderar kunder att ställa enhetliga säkerhetskrav på sina leverantörer. I en organisation där leverantörsavtalen spretar och säkerhetskraven varierar avsevärt kan antagonister ofta snabbt identifiera sårbarheter i glappet mellan kund och leverantör.
–Leverantörer bör regelbundet kunna bevisa hur de efterlever kundens krav, exempelvis genom att kommunicera när de har genomfört en intern eller extern revision eller om de fått ett nytt certifikat som kan stärka säkerhetsarbetet, säger Markus Ekström.
