Slik jobber Posten med sikkerhet i hele leverandørkjeden: – Det er et felles ansvar

Over halvparten av alle cyberangrep rettes mot små og mellomstore bedrifter. Ikke fordi disse alltid er hovedmålet, men fordi SMB-er kan være snarveien inn til større og mer verdifulle mål.

Det er dette som kalles for leverandørkjedeangrep.

– I slike angrep går hackerne via en tredjepart for å nå sitt egentlige mål. De finner svakheter hos én aktør, ofte en underleverandør, og bruker den som inngangsport videre inn i kjeden, sier Frode Wold, avdelingsdirektør for fysisk sikkerhet og beredskap i Posten.

Det er ikke akkurat en overdrivelse å påstå at Posten har et komplekst leverandørbilde, med mange leverandører og samarbeidspartnere.

– Du kan sikre deg mot mye, men aldri mot alt. Derfor stiller vi tydelige krav til sikkerhet, ikke bare hos oss selv, men også hos alle vi samarbeider med. Når kjeden er stor, må vi kunne stole på at alle ledd gjør sin del av jobben, sier Wold.

Leverandørkjedeangrep i fremmarsj

Mye tyder på at leverandørkjedeangrep er i fremmarsj.

Både NSM og PST peker i sine trusselvurderinger for 2025 på en økende risiko for leverandørkjedeangrep. De advarer også mot å undervurdere hvor sårbare man faktisk er gjennom andre.

Slike angrep starter sjelden med noe spektakulært. Tvert imot – det begynner ofte med noe helt hverdagslig.

For noen år siden ble det sendt en phishing-mail til en liten bedrift som monterte kjøleskap i Pennsylvania. Herfra klarte hackere å ta seg videre inn i lavprisgiganten Target sine systemer og stjele over 40 millioner kredittkort.

Svindelmetoden i seg selv var ikke særlig avansert. Men fordi rutiner og kunnskap om digital sikkerhet manglet, ble det som i dag er kjent som et av tidenes største datainnbrudd et faktum.

Nytt kurs: Cybersikkerhet for ledere

Cybersikkerhet for ledere: Fra lovkrav til beredskapsplan

Les mer

Automatisk overvåking

Det hjelper med andre ord ikke bare å ha kontroll på toppen. Derfor stiller posten tydelige sikkerhetskrav til sine leverandører – og at disse igjen stiller krav nedover til sine leverandører.

– Vi må vite hvilke planer leverandørene har – og hvilken prioritet vi har ved større hendelser, sier Wold.

Det har vist seg å være viktig.

I 2023 oppdaget Posten en alvorlig sikkerhetshendelse, der utenforstående aktører, trolig statlig støttet, hadde klart å skaffe seg tilgang til interne servere. Angriperne hadde etablert en inngang, men ble oppdaget i tide – før det fikk konsekvenser.

Alt tyder på at hensikten ikke var å gjøre umiddelbar skade, men å få tilgang til informasjon og systemer som kunne utnyttes senere.

«Living off the land»

Trusselbildet har ikke bare blitt mer alvorlig – det har også blitt mer uoversiktlig. En tydelig endring er måten angrep skjer på. Der man før snakket om innbrudd, skjer angrepene i dag oftere gjennom tilgang.

Man logger inn med stjålne eller misbrukte brukerkontoer. Og når du først er inne, kan de kriminelle operere som om de hører hjemme der,

Dette kalles ofte «living off the land». Det betyr at angriperen bruker virksomhetens egne systemer og verktøy til å bevege seg videre.

– De oppretter nye brukere, gir seg selv flere rettigheter eller flytter på data – alt i det stille. Fordi det ikke involverer skadevare eller fysiske spor, er det mye vanskeligere å oppdage.

Samtidig gjør den geopolitiske situasjonen trusselbildet enda mer komplekst. Statlig støttede aktører opererer på tvers av grenser, og det øker risikoen for innsidetilfeller og skjulte bindinger.

– Vi må tenke på hvem vi samarbeider med, hvor de kommer fra og hvilke forbindelser de ansatte har.

Nytt kurs:

Lær mer om hvordan cyberkriminelle angriper og om behovet for totalforsvar her 👇

Forstå det digitale trusselbildet 

Les mer

– Sikkerhet er et ekstra lag med kvalitet

Som om ikke trusselbildet i seg selv er krevende nok, skjerpes nå også kravene i lovverket. Med innføringen av EUs NIS2-direktiv og den nye digitale sikkerhetsloven i Norge, må virksomheter ta enda større ansvar – både for egne systemer og for sikkerheten i hele verdikjeden.

NIS2 er EUs nye regelverk for cybersikkerhet. Målet er å gjøre samfunnskritiske virksomheter i Europa bedre rustet mot angrep.

Direktivet stiller konkrete krav til risikostyring, håndtering av sikkerhetshendelser, tilgangsstyring og kontroll på underleverandører. I Norge blir dette en del av den nye digital­sikkerhetsloven, som etter planen trer i kraft i løpet av 2025.

Selv om Posten ikke er direkte omfattet av NIS2, har de likevel valgt å implementere prinsippene i hele konsernet.

– Det handler ikke bare om etterlevelse av regelverk. Det handler om kvalitet i leveransen. Vi ser på sikkerhet som et ekstra lag med kvalitet.

Her kan du lese mer om hvordan du kan forberede deg på innføringen av NIS2 – og hvordan god etterlevelse kan gjøre bedrifter mer attraktive på leverandørmarkedet.

Les også:Slik forbereder du deg på NIS2: – Norske bedrifter blir en del av totalforsvaret

– Beredskap er ofte enklere enn man frykter

Som en av Norges største virksomheter har Posten både kapasitet og systemer til å håndtere alvorlige hendelser. De har gjennomarbeidede beredskapsplaner, kontinuitetsløsninger og klare rollebeskrivelser.

Systemene overvåkes automatisk, tilganger styres løpende, og all informasjon er klassifisert etter hvor sensitiv den er.

For SMB-er er gjerne situasjonen en annen. Slike virksomheter har ofte mindre ressurser, mindre erfaring med datasikkerhet og det kan være enklere for uvedkommende å utnytte svakheter i systemene deres.

Men god beredskap trenger ikke være forbeholdt de store.

– Det er lett å tro at dette er komplisert og tidkrevende, men ofte er det enklere enn man tror. Det viktigste er å komme i gang.

– Finn ut hvem som har ansvar for hva hvis noe skjer – og skriv det ned. Del planen med de som trenger den. Sørg for at alle vet hva de skal gjøre dersom en situasjon oppstår.

Det samme gjelder risikovurderinger. Mange lar seg skremme av detaljer og rammeverk – og blir stående fast. Men poenget er ikke å gjøre det perfekt.

– Start med det enkle. Hva kan gå galt – og hva gjør vi da? Svar på det, så har du et utgangspunkt du kan bygge videre på.

– Hjelper ikke å låse inngangsdøren hvis bakdøren står på gløtt

At dette er viktig er tydelig. Ifølge en rapport fra DNV Cyber mangler 4 av 10 norske virksomheter innen kritisk infrastruktur oversikt over sikkerhetsrisikoene i forsyningskjeden.

– Det hjelper lite om vi er aldri så nøye med å låse inngangsdøren hvis bakdøren står på gløtt. En manglende oversikt over forsyningskjeden skaper et alvorlig sikkerhetshull i Norges beredskap, sier Arve Johan Kalleklev, direktør for DNV Cyber.

I Totalberedskapsmeldingen introduserte regjeringen en cyberberedskapsordning hvor næringslivet spiller en nøkkelrolle i beredskapen. Samtidig påpeker justis- og beredskapsministeren at kompetansemangelen innen cybersikkerhet er på et alarmerende nivå.

– Manglende kompetanse forsterker sårbarhetene i forsyningskjedene ytterligere. Studien indikerer at opplæringen i 82 % av norske virksomheter ikke er tilstrekkelig nok til å håndtere sofistikerte angrep, og 84 % peker på ansatte som det svakeste leddet, sier Kalleklev.

Les mer om rapporten her.

– Bygger beredskap sammen

En viktig del av beredskapsarbeidet i Posten handler om øvelse. Det gjennomføres jevnlig og i ulik skala – fra mindre, interne scenarioer til større, tverrfaglige kriseøvelser. Men øving handler om mer enn bare egne systemer og egne folk.

– Det er like viktig å øve sammen med partnere, leverandører og kunder. I praksis er det sjelden én aktør som rammes alene, sier Nina Yttervik, konserndirektør mennesker og organisasjon i Posten Bring AS.

Hun peker på at behovet for samspill i næringslivet har blitt tydeligere de siste årene – både på grunn av trusselbildet og det økte ansvaret virksomheter har for sikkerhet i verdikjeden.

– Ingen bygger beredskap alene. Det krever samarbeid, struktur og felles forståelse, sier hun.