Mange myndigheder og virksomheder vælger at lade eksterne leverandører varetage hele eller dele af deres it og it-drift. Det kan give god mening ud fra et forretningsmæssigt synspunkt, men der er også væsentlige risici forbundet hermed, som kan påvirke organisationens cyber- og informationssikkerhed. Derfor er leverandørstyring en vigtig del af enhver organisations cyberforsvar, særligt ved outsourcing af kritisk it-infrastruktur.

Center for Cybersikkerhed og Digitaliseringsstyrelsen har opdateret vejledningen ”Cybersikkerhed i leverandørforhold”, som hjælper organisationer med at styre cyber- og informationssikkerheden i de forskellige faser af et outsourcing-forløb – fra den indledende planlægningsfase til afslutningen på kunde-leverandørforholdet.

Leverandører kan være attraktive mål for hackere

Fremmede stater og kriminelle angriber jævnligt deres mål gennem forsyningskæden ved at kompromittere leverandører. Hackerne udnytter altså sårbarheder hos leverandører som et springbræt til at kompromittere deres egentlige mål. Det var det, der skete, i et af de hidtil største globale cyberangreb, da en statsstøttet hackergruppe installerede en såkaldt bagdør i en software-opdatering fra it-virksomheden SolarWinds og på den måde fik adgang til tusindvis af deres kunder, heriblandt danske.

Det er derfor vigtigt, at organisationen stiller de relevante sikkerhedskrav til og løbende fører kontrol med leverandøren. Leverandører bruger ofte underleverandører i forbindelse med deres opgaveløsning, hvilket i sidste ende kan påvirke kundens cyber- og informationssikkerhed. Som kunde bør man derfor også have overblik over leverandørens brug af eventuelle underleverandører.

Hav fokus på særlige forhold ved udenlandske leverandører

Ved outsourcing af organisationens it og driften heraf er det vigtigt at være opmærksom på, at der kan være særlige risici ved at anvende udenlandske leverandører og underleverandører. I visse dele af verden kan blandt andet lokal lovgivning, myndigheders adgang til data og den sikkerhedspolitiske situation påvirke kundens cyber- og informationssikkerhed. Valget af leverandør bør derfor altid indgå i organisationens risikovurdering. Derudover har leverandører af for eksempel antivirus-software og cloud-services ofte prioriteret adgang til kundens systemer, og det skal man have med i sin risikovurdering. Man bør desuden være opmærksom på, at trusselsbilledet hurtigt kan ændre sig i forbindelse med en skærpet konflikt eller geopolitiske spændinger.

”Cybersikkerhed i leverandørforhold” henvender sig særligt til statslige myndigheder, der outsourcer - eller planlægger at outsource - deres it-drift til en eller flere leverandører, herunder i forbindelse med større it-anskaffelser. Virksomheder og andre offentlige myndigheder kan også med fordel følge vejledningens anbefalinger.