Cyberrisici i din forsyningskæde - find dit svageste led
45 procent af store britiske virksomheder gennemgår cybersikkerhedsrisici hos deres umiddelbare leverandører, og kun 25 procent gransker risici i den bredere forsyningskæde. Det efterlader store huller i sikkerheden – og hullerne er ikke mindre i danske SMV’ers it-sikkerhed. Advokatfirma byder her ind med fem anbefalinger til at styrke sikkerheden.
”Beredskab til angreb på forsyningskæden og integration af hændelsesrespons bør behandles som prioriteringer på direktionsniveau for at begrænse betydelig forretningsforstyrrelse, omkostninger og indvirkning på kunde tillid”, lyder det fra advokatfirma Travers Smith LLP. Foto: 123rf.com.
Mens truslen om cyberangreb og hackerangreb er øget, halter sikkerheden hos titusindvis af virksomheder i rygraden af dansk erhvervsliv.
Det er en af de opsigtsvækkende konklusioner i en analyse af digital sikkerhed i små og mellemstore virksomheder (SMV’er) udfærdiget af Styrelsen for Samfundssikkerhed på baggrund af rundspørger foretaget af Danmarks Statistik med besvarelser fra mere end 4.500 selskaber. Det skriver Finans.
Selv vurderer styrelsen, at der er ’et markant behov for at løfte den digitale sikkerhed blandt de danske SMV’er, da hele 40 procent af SMV’erne fortsat ikke har et digitalt sikkerhedsniveau, som matcher deres risikoprofil’.
Med i omegnen af 300.000 SMV’er i Danmark peger analysen med andre ord på, at rundt regnet 120.000 virksomheder i dag har et sikkerhedsniveau, der ikke er proportionelt med den risiko, som selskabet har for at blive angrebet af for eksempel hackerangreb.
Rapporten udgør den seneste analyse til det nyoprettede ministerium for samfundssikkerhed og beredskab, der i sommer blev nedsat for at samle ansvaret for blandt andet sikring af den danske forsyningssikkerhed og krisestyring. Men det er ikke kun danske SMV’er, der er udfordret af it-trusler. Det er en generel udfordring for alle virksomheder verden over – ikke mindst detailvirksomheder.
5 anbefalinger fra it-advokater
Adidas, The North Face, Cartier og Victoria's Secret er blandt de seneste detailhandelsvirksomheder, der er blevet ramt af cyberangreb. Det samme er Marks & Spencer, Harrods og Co-op. Med rigelige mængder af kundeoplysninger, betydelige ressourcer og et stærkt omdømme at beskytte, er store detailhandlere attraktive mål for cyberkriminelle. Komplekse digitale forsyningskæder øger også de potentielle indgangspunkter for angribere. Angrebene på Adidas og Marks & Spencer udsprang fra sårbarheder i forsyningskæden. For virksomheder i detailsektoren - og udenfor - er det vigtigt at håndtere cyberrisici på tværs af forsyningskæden. Her er fem tips fra det anerkendte engelske advokatfirma Travers Smith LLP til at hjælpe med dette.
For alle sektorer, især detailhandelen, er det en skarp påmindelse om, at selv store, sikkerhedsbevidste virksomheder er sårbare over for sårbarheder fra kompromitterede eksterne partnere
Advokatfirmaet Travers Smith LLP
1. Kortlæg din forsyningskæde
Ifølge den britiske regerings undersøgelse af cybersikkerhedsbrud i 2025, gennemgik kun 45 procent af store virksomheder cybersikkerhedsrisici hos deres umiddelbare leverandører. Kun 25 procent gennemgik risici i den bredere forsyningskæde. At kende dine direkte og indirekte leverandører, hvad de leverer, hvordan de gør det, og hvilke data de har adgang til, vil hjælpe med at identificere kritiske leverandører og bedre håndtere cybersikkerhedstrusler.
2. Udfør due diligence i forsyningskæden
Vurder, om dine leverandører har et passende niveau af cyberresiliens og datahygiejne. Leverandører bør udfylde et sikkerhedsspørgeskema, og dit personale bør være trænet til at vurdere dette. Overvej også, om dine leverandører udfører uafhængige tredjepartsvurderinger eller audits.
3. Vær sikker på at kontraktvilkår beskytter dine data og systemer
Kontrakter med leverandører bør omfatte forpligtelser til minimums sikkerhedsforanstaltninger, vedligeholdelse af sikkerhedsakkrediteringer, forpligtelser til at opretholde beredskabs- og forretningskontinuitetsplaner, samt rettigheder til at udføre audits. Kontrakter bør også omfatte krav til rapportering af cyberhændelser og strategier for udtræden.
4. Inkluder forsyningskæderisici i din cyberberedskabsplanlægning
Det er afgørende at have en plan for håndtering af cyberhændelser og at øve, hvordan man reagerer, hvis en datalækage stammer fra en nøgleleverandør. Overvej at involvere dine nøgleleverandører i din planlægning og træning.
5. Gransk de tilgængelig vejledning og regulatoriske krav
Ny cyberlovgivning og internationale standarder, såsom ISO 27001:2022, fokuserer på håndtering af cyberrisici i forsyningskæden. Det er nyttigt at forstå, hvilke foranstaltninger der er taget i andre sektorer, der er populære mål for cyberkriminelle, såsom finansielle tjenesteydelser.
Ifølge undersøgelsen fra 2025 er der et fald i store virksomheder, der søger ekstern information eller vejledning om cybersikkerhed. Der findes en bred vifte af vejledninger og kodeks for praksis, såsom NCSC's 12 principper for forsyningskædesikkerhed og Cyber Essentials.
Vær beredt på angreb
”For alle sektorer, især detailhandelen, er det en skarp påmindelse om, at selv store, sikkerhedsbevidste virksomheder er sårbare over for sårbarheder fra kompromitterede eksterne partnere. Beredskab til angreb på forsyningskæden og integration af hændelsesrespons bør behandles som prioriteringer på direktionsniveau for at begrænse betydelig forretningsforstyrrelse, omkostninger og indvirkning på kunde tillid”, lyder det fra advokaterne.
Læs advokaternes uddybning af anbefalingerne her.
