Innlegget er tidligere publisert i Finansavisen

Digitale leverandørkjeder har en risiko som i vesentlig grad skiller seg fra risikoene vi møter til vanlig. Vi må nemlig huske på at digitale leverandørkjeder kan inneholde digitale sårbarheter.

Programvare, it-systemer eller tjenester kan angripes av trusselaktører, som kan bruke tilgangen til disse som springbrett for å bryte seg inn i kundenes it-systemer.

Trusselaktøren kan skjule skadevare i programvare som virksomheten selger videre til andre virksomheter. Kunden får dermed en digital trojansk hest med på kjøpet. På denne måten kan en trusselaktør etablere brohoder hos mange nye virksomheter. Skadevaren kommer inn i nye virksomheters systemer i form av en ordinær anskaffelse og slike sårbarheter kan være vanskelig å oppdage.

Et eksempel er leverandørkjedeangrepet mot det amerikanske IT-selskapet SolarWinds, som ble kjent desember 2020. I et sofistikert og svært omfattende dataangrep, etablerte trusselaktøren en bakdør i et av programmene til SolarWinds. Bakdøren ble så med i en oppdatering av programmet som SolarWinds selv tilgjengeliggjorde til sine kunder, over 18.000 virksomheter verden over.

Trusselaktør utnyttet her tillitsforholdet mellom leverandør og kunde, hvor kundene ukritisk har installert en oppdatert men ondsinnet versjon av et program, i tro om at denne er legitim. Trusselaktøren kunne dermed utnytte bakdøren for videre kompromittering hos kundene.

Leverandørkjedeangrep kan være krevende å oppdage

Vi må beskytte virksomhetens it-systemer og digitale infrastruktur mot angrep som kan komme via underleverandører eller samarbeidspartnere.  Tilnærmingen vi bruker for å møte dette risikobildet kalles gjerne Zero Trust, og tar utgangspunkt i at tilliten til de enkelte komponentene i vår egen infrastruktur nå er like liten som den tilliten vi har til tilfeldige systemer på internettet. Dette er en risikovurdering som tar høyde for digitale trojanske hester.

Zero Trust er ikke en ny teknisk løsning, men en tilnærming som har utviklet seg over mer enn ti år og som nå er tilstrekkelig moden til å kalles en arkitektur. Den favner de anbefalinger om digital sikkerhet NSM allerede gir, og vektlegger behovet for å etablere like sterke sikkerhetstiltak mellom systemene i virksomhetens interne nett som for de systemene som er eksponert for det offentlige internettet. Det er en tilnærming som kan brukes både for tradisjonelle IT-systemer og for skytjenester.

Zero Trust vil også bidra til bedre sikkerhet i en hverdag med større bruk av hjemmekontor og hvor både konsulenter og virksomhetens egne ansatte tar med mobiltelefoner, nettbrett og datamaskiner inn i virksomhetens lokaler og nettverk.