Faran med ensidigt beroende
När Tietoevry drabbades av en it-attack slog det även hårt mot många av deras kunder.
Det är en konsekvens som behöver förebyggas, anser MSB.
– Vi har i tidigare rapporter föreslagit att leveranskedjor bör kartläggas och att eventuella monoberoenden regleras, säger Mathias Antonsson, senior analytiker på MSB.
Monoberoende är när en organisation är beroende av exempelvis en tjänst och det inte finns några alternativ om tjänsten upphör.
– Om något händer är du väldigt sårbar. Särskilt om det inte finns alternativa arbetssätt.
Det var ett ryskt hackernätverk som genomförde utpressningsattacken (ransomware) mot Tietoevry. Granngården, Stadium, Rusta och Statens servicecenter, där runt 170 myndigheter är kunder, hörde till de drabbade.
– Vi har varnat för problematiken med leveranskedjor. Och det vi ser med Tietoevry är ett typexempel på det, säger Mathias Antonsson som har samordningsansvar för strategisk cybersäkerhetsanalys på MSB.
MSB föreslog redan 2020 att leveranskedjor bör ses över. I förra årets cyberårsrapport (”När kriget kom nära”) gjordes en djupstudie av Ukraina med lärdomar därifrån.
I rapporten föreslår MSB att myndigheten får ett regeringsuppdrag att kartlägga leverans-kedjorna hos samhällsviktiga verksamheter.
– Om vi gör det så hittar vi de känsliga noderna där väldigt många är beroende av en enskild eller ett fåtal leverantörer. Vi har i dag också olika lagstiftning för privat och offentlig verksamhet. Om jag generaliserar så är det vid leverans av samma tjänster enklare att vara en privat aktör än en offentlig. Det tycker vi är fel. Alla samhällsviktiga verksamheter ska ha samma kravbild anser vi.
Det säkerhetspolitiska läget med stort fokus på beredskap stärker MSB:s skäl att vilja kartlägga leveranskedjorna.
– För att kunna bedöma beredskapen inom cybersäkerhetsområdet måste vi ha en förståelse för hur det ser ut. En förståelse för var de viktigaste noderna är, vilka som är de viktigaste aktörerna och tjänsterna. Det är en grundsten. När vi vet det, då kan vi börja hantera det.
Mathias Antonsson konstaterar att digitala leveranskedjor blir allt vanligare, företag effektiviserar och hittar bra tjänster. Resultatet blir att många väljer att använda tjänsten.
– Blir det många som väljer att knyta upp sig mot samma leverantör och leverantören får problem; då är det väldigt många som drabbas.
Det finns inget krav att exempelvis Tietoevry måste särskilja sina kunder så inte alla kan drabbas samtidigt vid en attack?
– Det är pudelns kärna. När sådana här saker händer finns det många rimliga frågor att ställa. För det första: har de vidtagit de åtgärder som borde gjorts? Det är lite oklart, saken utreds fortfarande. Det kan vara så att angriparen nyttjat en sårbarhet som MSB varnat för. Om du inte har det skydd du borde haft, då är det ett problem från start.
– För det andra: om man har många ägg i samma korg, då borde man kanske titta på att dela upp äggen i högre grad än vad som kan ha varit fallet denna gång.
Om MSB får uppdraget att kartlägga leveranskedjorna och upptäcker att för många är beroende av samma leverantör, hur kan man hantera det?
– Det finns egentligen bara två sätt. Det ena är att man skaffar fler korgar att fördela äggen i. Det andra är att man tvingar några att använda andra alternativ.
Kan man maximera antalet kunder?
– Nu har mycket hänt på kort tid. Sedan den fullskaliga invasionen av Ukraina har vi försökt styra om, det är ett helt annat beredskapsfokus. Saker som innan dess var väldigt kostnadseffektiva, som storskalighet, kanske inte är lika intelligenta ur beredskapssynpunkt.
– Då bör man betänka om man ska dela upp äggen i flera korgar genom att ha fler datacentra på samma företag eller fler system införda.
Varför sker inte det i dag, är det dyrt?
– Det är nog främsta förklaringen.
Många myndigheter använder Statens servicecenters tjänster, är det en risk med många myndigheter på samma ställe?
– Det behöver inte vara negativt. Den leverantören får möjlighet att bygga upp en bra säkerhet, vilket i sin tur kan ge bättre skydd än om du har många små aktörer. Det är svårt att säga vad som är rätt väg. Det är en risk oavsett vad man väljer, och den risken måste hanteras.
Hur många stora leverantörer finns det?
– Svårt att svara på. Tietoevry är enligt min förståelse inte en av de största, men det fick ändå stora konsekvenser.
Kan man som kund begära en egen korg för sina ägg hos leverantören?
– Man kan försöka, men jag tror kostnaden kommer avskräcka i många fall. Jag skulle snarare sätta fingret på kravställning vid upphandling. Det är en viktig fråga, och där är många organisationer lite för dåliga när det gäller it-säkerhet. För i slutändan är det så att om något händer, då går man till avtalet. Vad man kan få tillbaka knyts till avtalet. Det här är jätteviktigt.
NIS-direktivet inom EU ställer krav på säkerhet i nätverk och informationssystem, det omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster. Snart, kanske i oktober, införs NIS2 som innebär att fler omfattas av kraven.
– Det kommer att öka kravställningen och finnas rejäla sanktionsmöjligheter. Det kommer förändra spelplanen och förhoppningsvis förbättra säkerhetsarbetet på sikt.