MSB släpper rapport om hoten mot digitala leveranskedjor

Misstag, angrepp, systemfel och naturhändelser kan leda till allvarliga incidenter i digitala leveranskedjor. Det framgår i rapporten Hoten mot de digitala leveranskedjorna som MSB ger ut. Rapporten presenterar 50 rekommendationer på hur hot och sårbarheter kan förebyggas.

Det är första gången en svensk myndighet tar ett helhetsgrepp om problematiken med digitala leveranskedjor. Rapporten baseras dels på data från NIS-leverantörer och dels data från omvärlden som visar att incidenter i digitala leveranskedjor är vanliga.

Risker med monoberoende

Något som särskilt lyfts fram i rapporten är vikten av att bryta ett så kallat monoberoende. Det är risken av att vara beroende av en specifik digital tjänst eller produkt som saknar konkurrerande alternativ och är unik på marknaden.

- Här finns två växande risker. Det ena är att när den specifika leverantören av en digital produkt drabbas av ett avbrott i leveransen vilket kan drabba många andra verksamheter hårt. Den andra är när en digital produkt installeras utan att testas och granskas ordentligt före. Då riskerar till exempel skadlig kod att oavsiktligt installeras och aktiveras. Det kan i sin tur leda till incidenter som blir påtagliga i många delar av samhället, säger Johan Turell, analytiker på MSB och en av två rapportförfattare.

50 rekommendationer

Informationsdelning i de digitala leveranskedjorna brister ofta och många organisationer troligen är omedvetna om hur deras säkerhetssituation ser ut i vissa avseenden.

- Det innebär att det kan vara svårt att veta vad man ska göra när en incident sker i någon av ens digitala leveranskedjor, säger Martin Palmqvist, analytiker på MSB som också skrivit rapporten.

Rapporten Hoten mot de digitala leveranskedjorna riktar sig till organisationer och stater och presenterar 50 rekommendationer på hur hot och sårbarheter kan förebyggas. Den ger också stöd i hur den egna organisationens beroende till digitala leveranskedjor kan analyseras.

- Genom att bli medveten om sin organisations säkerhetssituation och beroende kan det bli lättare att fatta genomtänkta beslut om en incident drabbar någon av ens digitala leveranskedjor, säger Martin Palmqvist.

MBS:s roll

MSB behandlar it-incidenter i Sverige med ett allriskperspektiv och har en unik position att behandla helheten inom samhällets informations- och cybersäkerhet. Förutom de återkommande årsrapporterna för it-incidenter har man i år valt att djupdyka i problematiken kring it-incidenter i digitala leveranskedjor. 

Rapporten Hoten mot de digitala leveranskedjorna på MSB:s webbplats