Digitala beroenden i en skärpt hotbild

“Bli inte en ingång för främmande makt att skada Sverige.”

Det var civilförsvarsminister Carl-Oskar Bohlins uppmaning vid regeringens presskonferens om ökade cyberhot mot operativa system den 15 april.

Formuleringen fångar det ansvar som nu vilar på samhällsviktiga verksamheter. Hotbilden mot Sverige har ökat, och regeringen pekar särskilt på risker kopplade till OT-system, det vill säga system för operativ teknik som styr eller stödjer kritisk infrastruktur som el, vatten, värme och sjukhusmiljöer.

Men riskbilden för OT-system är sällan begränsad till själva OT-miljön. Den påverkas ofta av digitala leverantörer, externa servicepartners, fjärråtkomst, integrationer, molntjänster och underleverantörer. Det innebär att en verksamhet inte bara behöver skydda sina egna system. Den behöver också förstå vilka externa aktörer och digitala beroenden som kan påverka kritiska funktioner eller skapa vägar in till dem.

“Vi har koll på våra kritiska leverantörer”

Många organisationer har god kännedom om sina viktigaste leverantörer. När någon säger att de “har koll på sina kritiska leverantörer” stämmer det oftast.

Men kännedom är inte samma sak som kontinuerlig och spårbar kontroll.

En leverantörslista visar vem organisationen köper från. Den visar däremot inte alltid vad leverantören faktiskt påverkar, vilken åtkomst som finns, vilka krav som gäller, vilka underleverantörer som används eller hur riskbilden har förändrats sedan den senaste bedömningen.

Utmaningen är ofta att informationen snabbt blir daterad och samtidigt finns utspridd på flera ställen: hos olika personer, i olika dokument och i olika system. Det gör riskbilden svår att använda som underlag för prioritering, uppföljning, beredskap eller revision.

Det är här skillnaden uppstår mellan att känna till sina leverantörer och att ha kontroll över sina digitala beroenden.

Leverantörens roll i verksamheten är avgörande

Digital leverantörsrisk berör ofta flera delar av en organisation. Ett system kan ägas av IT, användas av verksamheten, upphandlas av inköp och omfattas av avtal som juridik granskat, samtidigt som det är relevant för drift, beredskap eller informationssäkerhet.

För att bedöma den verkliga risknivån behöver man därför förstå sambanden mellan leverantörer, system, åtkomst, avtal och verksamhetspåverkan. Det avgörande är inte bara vem leverantören är, utan vilken roll leverantören har i verksamheten, vilka beroenden den skapar och vilken påverkan den kan få om något går fel.

En mindre leverantör kan vara oviktig ur inköpsperspektiv men central ur drifts- eller säkerhetsperspektiv. En extern servicepartner kan ha begränsad avtalsvolym men betydande teknisk åtkomst. En molntjänst kan användas av en enskild funktion men samtidigt hantera information eller processer som är kritiska för verksamheten. Det är därför kritikalitet inte bara bör bedömas utifrån leverantörens storlek eller avtalsvärde, utan utifrån vad leverantören faktiskt kan påverka.

Hotbilden gör beroendena mer konkreta

När regeringen uppmanar hela samhället att höja garden handlar det inte bara om att stärka tekniska skydd i enskilda system. Det handlar också om att minska risken för att externa beroenden blir vägar in till samhällsviktig verksamhet.

För en angripare är den organisatoriska gränsen sällan särskilt relevant. Det som spelar roll är var det finns åtkomst, svaga länkar, otydliga ansvarsförhållanden eller beroenden som kan utnyttjas. Det kan handla om externa leverantörer med teknisk eller administrativ åtkomst, systemintegrationer mellan IT- och OT-miljöer, fjärrsupport, driftstjänster, underleverantörer, otydliga säkerhetskrav eller förändringar hos leverantörer som inte fångas upp i tid.

Det är den bilden organisationer behöver för att förstå, prioritera och följa upp sina digitala beroenden i en skärpt hotbild. Utan den riskerar leverantörskedjan att bli just det civilministern varnade för: en ingång för främmande makt att skada Sverige.