Nyheter

Proofpoint: ”Kunskapsbrist inom cybersäkerhet stor risk vid upphandlingar”

Örjan Westman från cybersäkerhetsföretaget Proofpoint skriver debattinlägg på Dagens Infrastruktur om att det från myndighetshåll flaggats om brist på kunskap om cybersäkerhet – och att det riskerar att leda till stora problem vid upphandlingar, något vi sett flertalet exempel på det senaste året. Det här var en av punkterna som låg bakom inrättandet av det nationella cybersäkerhetscentret:

”I slutet av förra året fattade regeringen beslut om att inrätta ett nationellt cybersäkerhetscenter för att bättre möta den ökade problematik som omgärdar området.

En av fokuspunkterna är hur väl cybersäkerhet prioriteras vid offentlig upphandling. I rapporten Cybersäkerhet – Hot, metoder, brister och beroenden, som delvis legat till grund för beslutet, konstaterar Säkerhetspolisen att cybersäkerhet är ett eftersatt område – och att myndigheter och offentliga organisationer visar på bristande kravställning för cybersäkerhet vid såväl upphandling som utkontraktering.

Att myndigheter och organisationer lägger delar av IT-driften vid en upphandling hos extern aktör är inte ovanligt. Anledningarna kan vara flera: bland annat att det innebär kostnadsbesparingar att drifta externt eller att rätt kompetens saknas internt. 

Samtidigt som ett sådant upplägg kan ha många fördelar ställer utkontraktering höga krav på att beställaren är väl insatt i vad som ska ingå i listan över krav. Och eftersom tillräcklig kunskap kring cybersäkerhet fortsatt saknas finns en risk för att det blir fel, vilket vi under de senaste åren har sett flera uppmärksammade exempel på. 

Säkerhetspolisen slår också fast att det är vanligt att flera tjänsteleverantörer delar på hanteringen av utkontrakterad IT-infrastruktur och att det därmed är svårare att ställa krav på en kontinuerlig säkerhetsnivå som följs av samtliga leverantörer.

Vi ser ofta att just leverantörskedjan i stor utsträckning utnyttjas av nätkriminella vid incidenter. Snarare än att angripa den direkta måltavlan infiltrerar man underleverantörer – inte sällan genom att ta över mejlkonton. Därefter skickar man ut mejl som ser ut att komma från underleverantören, och ber om exempelvis en brådskande betalning. Nyligen publicerade siffror från Proofpoint visar att 98 procent av nästan 3 000 övervakade organisationer i USA, Storbritannien och Australien mottog minst ett hot från en domän tillhörande en leverantör under en period på sju dagar i februari 2021.

Det är en typ av tillvägagångsätt som är svår att skydda sig mot och som riskerar att få allvarliga följder. Särskilt kritiskt blir det just vid en utkontraktering, där många parter hanterar samma system.

Frågan hur vi framöver ska närma oss en säkrare upphandlingsprocess är mångbottnad eftersom det krävs en rad åtgärder över hela samhället.

Men åtminstone de nedanstående punkterna bör finnas på prioriteringslistan:

Större fokus på utbildning. Först när tillräcklig kunskap för cybersäkerhetsområdet finns på plats från beställarens sida kan också kravställningen bli tydligare.

Ökad transparens vid utkontraktering. Att skapa sig en bild hur leverantörskedjan ser ut är A och O. Numera är det inte ovanligt att flera tjänsteleverantörer delar på IT-driften vid utkontraktering. Det ger en ökad komplexitet som försvårar insynen.

Måla upp ett worst case-scenario. Vad händer om underleverantören drabbas av en incident? Finns tillräckligt med förberedelser både hos de externa samarbetsparterna och internt inom myndigheten/organisationen? Genom att planera för det värsta blir det enklare att agera om något inträffar.

Utkontraktera även cybersäkerhet. På samma sätt som IT-driften läggs över på extern part är det också en bra tanke att låta cybersäkerhet skötas av människor som är experter på området och har senaste data över den globala hotbilden.

Slutligen är det oerhört positivt att området prioriteras på regeringsnivå. Cyberattacker riskerar att få allvarliga följder och angriparna är väl medvetna om vilka brister som existerar. Att ta ett första steg mot en mer hållbar och säker framtid – som det nationella cybersäkerhetscentret har potential att vara – är något som gynnar hela samhället.”

– Örjan Westman, Nordenchef Proofpoint –