Digital sikkerhed kræver kontrol

Den multinationale telekommunikationsvirksomhed Huawei udgav i juni virksomhedens fjerde hvidbog om sikkerhed i forsyningskæden. SCM.dk har taget en snak med Huaweis sikkerhedschef (Cyber Security Officer) i Danmark, Kim Larsen, om risici, forebyggelse, lovgivning og målbarhed. 

Sikkerhed i forsyningskæden er ikke så enkelt, som det var engang. I vores digitale og moderne verden handler det ikke kun om at have gode låse og trygge rammer, men også om at holde digitale døre låst, så vigtig information bliver i virksomheden.

Kim Larsen beskriver alle virksomheder, der lever af viden og producerer deres egne ting, som værende potentielt i fare for informationslæk. Hvis man ikke har styr på sin forsyningskæde, er der risici for, at man kan blive eksponeret negativt, hvis en underleverandør fx ikke opfylder de krav, der er stillet til den.

”I virksomheder er der altid den trussel, at folk videregiver oplysninger, de ikke skulle have gjort. Derudover er der truslen om tyveri, og så der er hele den her intellectual property-del. Man giver jo noget af kontrollen videre, hvis man har underleverandører og partnere, som man arbejder tæt sammen med”, forklarer Kim Larsen.

Læs også: Mere sikkerhed i supply chains

For at forebygge risici som de ovenstående skal man tage kontrollen med sin forsyningskæde, forklarer Kim Larsen, hvilket netop er, hvad rigtig mange virksomheder er begyndt på:  

”Sikkerhed er blevet et kæmpe emne. Og det har gjort, at mange har kigget indad, og rent faktisk har fået gjort det, som man længe har sagt, man har gjort - det vil sige fået lavet nogle ordentlige politikker og procedurer for medarbejdere, papirhåndtering og sikkerhedsstrukturer i virksomheden”.

Kæden er ikke stærkere end det svageste led
Når man skal have styr på sikkerheden i sin virksomhed og forsyningskæde, gælder det om, at man sikrer sig, at der ikke er nogle steder i hverken virksomheden eller forsyningskæden, der bliver slækket på sikkerhedsstrukturen:

”Det gælder helt konkret om at stille samme krav til ens virksomhed, som man stiller til sig selv. At få styr på papirhåndteringen i virksomheden, få styr på produktionen, få styr på medarbejderne. Stille sig selv spørgsmål som ’hvem har man ansat? Hvordan får de adgang til ens faciliteter? ’ Og det samme gælder i forsyningskæden”, siger Kim Larsen og eksemplificerer:

”Hvis man netop har afgivet noget af sin intellectual property til nogle andre – altså hvis man har fremstillet noget, en komponent af en art, og har lagt det ud til en produktionsvirksomhed - så skal man jo sikre sig, at de ikke giver det her produktkendskab videre til andre. Det handler om insidertruslen, altså hvis en medarbejder videregiver information, der ikke skulle videregives”.

Sikkerhedschefen nævner sikkerhedscertificeringen ISO 27001, som et konkret værktøj man kan tage i brug. ISO 27001 er en international standard for informationssikkerhed, individuelt opbygget til at møde den enkelte virksomheds behov.

”Det gælder altså om, at få styr på hele den proces og hele den ramme, der udgør ens sikkerhedsstruktur. Helt basalt handler det om, at en kæde ikke er stærkere end det svageste led. Det gælder også forsyningskæden”.

Gennemsigtighed i leverandørkrav
Man skal dog passe på med at lovregulere som et skridt mod mere sikkerhed, mener Huaweis sikkerhedschef. Og hvis staten endelig skal styre gennem lovgivning, skal den gøre det i samarbejde med industrien, understreger han.

”Men til gengæld er det også vigtigt, at staten, som jo er kunde hos rigtig mange af os, sætter nogle transparente krav til leverandørerne. Det er noget vi arbejder tæt sammen med blandt andre Dansk Industri for at få gennemført”.

Der skal altså sættes standarder i stedet for at laves lovgivning på området. Og helst EU-standarder, snarer end nationale krav.  

”Man må jo erkende, at Danmark ikke er et kæmpestort marked og ved at gøre det større – ved fx at sætte standarder inden for EU – bliver det nemmere for de store leverandører at anerkende de krav og være med”.

Målbarhed frem for alt
Når man starter på at lave sikkerhed, kan man pludselig blive opmærksom på, hvor mange huller der måske er i ens sikkerhed. Hvor meget man ikke har under kontrol. Det betyder ikke nødvendigvis, at man skal dække dem alle, hvis man eksempelvis ikke har ressourcerne dertil. Det er nemlig i sig selv en styrke, at man er bevidst om de huller, der kan være og de risici, hullerne medfører.

Det at få styr på sin leverandørkontrol og blive bevidst om eventuelle huller, giver en målbarhed i forhold til virksomhedens reelle risikobillede. Og dét er noget af det vigtigste.

Læs også: Bliver din forsyningskæde løftet eller bremset af it?

”Vi har i Hvidbogen netop lavet 46 Baseline områder spørgsmål, man kan bruge til at skabe noget målbarhed angående sikkerheden. Spørgsmålene bevæger sig inden for forskellige områder, så man meget specifikt kan gå ud til sin leverandør og sige ’Nu vil vi gerne kigge på din personelsikkerhed, nu vil vi gerne kigge på din informationshåndtering’. Og så kan man simpelthen måle sig frem til hvilke risikogrupper, man har”, siger Kim Larsen og tilføjer:

”Målbarheden giver langt bedre mulighed for risikostyring og er bare… Det er det vigtigste i det her”.