Leveranskedjor i skottlinjen
De som vi hör talas om lär vara toppen av ett isberg; de allra flesta supply chain-attacker blir aldrig allmänt kända. Förlorad affärsdata, känsliga personuppgifter på vift, affärshemligheter och samhällsviktig information i fel händer — med tanke på vilka förödande konsekvenser en attack kan få är det inte konstigt om drabbade företag och myndigheter helst lägger locket på.
Myndigheter? Ja, tyvärr finns flera kända (och förmodligen många fler okända) exempel där samhällsviktiga system drabbats av attacker mot leveranskedjor, det vill säga supply chain-attacker.
Hösten 2023 utsattes brittiska Okta, som levererar identifierings- och autentiseringstjänster till bland annat myndigheter och lärosäten, av en attack som gav angriparna tillgång till mängder av privat användardata och känsliga personuppgifter. Den ökända SolarWinds-attacken tog vägen via en programuppdatering i ett populärt it-hanteringsverktyg. Angriparna infogade en sorts bakdörr i uppdateringen, som sedan distribuerades till omkring 18 000 kunder — däribland det amerikanska finansdepartement, handelsdepartementet och departementet för inrikessäkerhet.
I en supply chain-attack kan angriparna vara ute efter fysiska produkter likaväl som känslig data.
Längre supply chains, större risker
Ju fler underleverantörer och längre kedja, desto större risk för angrepp mot någon av ”länkarna”. Samtidigt är underleverantörerna nödvändiga för företag som vill arbeta effektivt och fokusera på sin kärnverksamhet. Carl-Johan Ekelund är ansvarig för det nationella säkerhetsteamet på Atea:
— Det är väldigt få organisationer, om någon, som är helt oberoende av underleverantörer. En stor del av ansvaret kan avtalas bort men inte allt, så det är viktigt att följa upp för att säkerställa att säkerheten är på rätt nivå. Fokusera först och främst på underleverantörerna som ansvarar för de mest kritiska leveranserna.
Svaga länkar i leveranskedjor kan alltså ge kriminella organisationer och främmande makt tillgång till militära uppgifter, försvarshemligheter och säkerhetsklassad regeringsinformation. Den skurk som är otåligt lagd kan förstås också skapa omedelbart samhällskaos genom att sabotera kritisk infrastruktur som elnät, vattenreningsanläggningar och kärnkraftverk.
Supply chain-attacker hotar både näringsliv och samhälle. Men det går att skydda sig.
Angrepp i produktionsprocessen
Supply chain-attacker är ett hot mot varje bransch och aktör som är beroende av något slags försörjningsnätverk. Med andra ord: attackerna är ett hot mot alla. Angriparna kan vara ute efter fysiska produkter likaväl som data. Inom produktion och tillverkning har den här typen av attacker ökat rejält; i en sektor som bygger på stora nätverk av olika leverantörer blir det lätt tvärstopp när en enda länk i kedjan bryts. Angrepp kan också smygas in mer diskret i en produktionsprocess, exempelvis genom skadlig programvara som inte upptäcks förrän slutprodukten visar brister i kvalitet eller säkerhet.
— Vi ser att många organisationer har förberett sig på direkta intrång i sin egen miljö, men få har gjort en analys av vad som händer om en central underleverantör drabbas. Ett bra sätt att ta ett första steg är att öva och simulera just den situationen, säger Carl-Johan Ekelund.
Det är kanske en klen tröst att ingen behöver känna sig ensam under det mörka supply chain-attack-molnet: alla företag, branscher, organisationer och institutioner ligger lika skrynkligt till. Lite mer uppmuntrande är det faktum att riskerna kan minskas radikalt med några genomtänkta insatser.
Tillverkningsindustrin drabbas allt oftare och hårdare av leveranskedjeattacker.