Så minskar du riskerna med leverantörskedjor

Samarbeten mellan olika verksamheter gör att leverantörer i dag ofta finns utspridda över hela världen. Din verksamhets leverantörskedja blir därmed längre och säkerhetsarbetet mer komplext. Vi reder ut hur du ska tänka för att säkerställa effektivitet och säkerhet genom hela processen.

Vad är en leverantörskedja egentligen?

En leverantörskedja består av flera aktörer som på olika sätt medverkar med sina tjänster under framställningen av en produkt. Det kan exempelvis vara tjänster såsom framställning av råmaterial eller tillverkning av komponenter. Eftersom en leverantörskedja används dagligen i de flesta verksamheterna och ofta består av flera olika aktörer innebär den både risker och möjligheter.^[1]

Vad finns det för risker med leverantörer och leverantörskedjor?

Dagens vanliga internationella samarbeten mellan olika verksamheter har ökat och därmed sträcker sig också leverantörskedjor över hela världen. Internationella leverantörskedjor anses vara mer komplexa än de som håller sig inom samma land. En längre leverantörskedja som består av många olika aktörer innebär också fler risker än kortare leverantörskedjor. Det är viktigt att tänka på att även om din verksamhet har ett välfungerande säkerhetsarbete så kan det påverkas negativt av en aktör i din leverantörskedja som inte har en lika hög nivå av säkerhet.^[2]

Förseningar kan utvecklas till finansiella risker

När leverantörskedjan inte fungerar som den ska kan det skapa störningar för verksamheten: skulle exempelvis råmaterial eller komponenter inte levereras i tid kan denna försening fortplanta sig längs leverantörskedjan och leda till fler negativa konsekvenser för verksamheten, och riskera att resultera i finansiella påföljder.^[3]

Hur säkerställer vi en jämn nivå av informationssäkerhet?

När vi samarbetar med andra verksamheter delar vi också information med varandra. Att skydda information från obehörig åtkomst är en viktig del i detta arbete. I en leverantörskedja där vi delar information med flera andra aktörer kan detta påverka sekretessnivån, eftersom inte alla verksamheter har samma krav och regelverk att förhålla sig till. Vi använder olika tekniska verktyg och risken där är att inte alla parter använder samma nivå av kryptering, eller har tillräckligt bra åtgärder på plats för att skydda informationstillgängligheten. Information och cyberrisker finns alltså både inom och utanför den egna verksamheten, samt kan sprida sig över delar eller hela leverantörskedjan.^[4] Om konfidentiell information skulle läcka ut till obehöriga kan det ge en negativ påverkan på alla inblandade samarbetspartners. Dessutom finns risken att informationen som hanteras och skickas mellan olika aktörer kan ta skada till och med bli otillgänglig, vilket i sin tur kan ha en negativ inverkan på beslutsprocesser.^[5]

Det kan hända vem som helst

En incident från 2019 som du kanske minns skedde via en leverantörskedja: flygplanstillverkaren Airbus blev utsatta för attacker där obehöriga fick tillgång till hemlig information om deras flygplan. Genom att hitta svaga länkar mellan Airbus och deras leverantörer, bland annat Rolls Royce, kunde angripare komma åt dokument i Airbus system. Enligt rapporter hade hackarna tagit sig in via en Virtual Private Network (VPN) som användes mellan Airbus och deras leverantörer. En VPN är till för att skydda datatrafik och minska risken för dessa typer av attacker, ändå hittade hackarna sårbarheter via leverantörskedjorna för att komma åt dokument i Airbus system.^[6]

Hur kan vi hantera riskerna?

Det är viktigt att ha en policy som beskriver hur verksamheten arbetar med leverantörer. I denna policy kan du exempelvis beskriva hur din verksamhet arbetar för att skydda sina resurser och för att minska riskerna. Policyn skapar en grund för en enhetlig och tydlig leverantörsprocess genom hela verksamheten. Det är också viktigt att fastställa krav på informationssäkerheten i avtalen med dina leverantörer. Kraven kan specificera tillvägagångssätt för att minska risker mot verksamhetens data som leverantören kan komma att använda. Tekniska medel är bra att använda för att skydda verksamheten från attacker, men det är också viktigt med styrdokument samt att skapa medvetande bland anställda.^[4] Vi på Advania hjälper dig gärna med policys och riktlinjer, riskanalyser och tekniska lösningar för att trygga både din verksamhet och hela leverantörskedjan.

[1] https://www.foretagarna.se/innehallsbank/riks/2019/mars/leverantorskedjan-vilka-samarbetar-du-med/

[2] https://www.mdpi.com/2227-9091/9/1/16

[3] https://precoro.com/blog/7-basic-types-of-supply-chain-risks/

[4] https://www.researchgate.net/profile/Shipra-Pandey/publication/338668641_Cyber_security_risks_in_globalized_supply_chains_conceptual_framework/links/5e2678ae92851c89c9b5ac66/Cyber-security-risks-in-globalized-supply-chains-conceptual-framework.pdf

[5] https://www.researchgate.net/publication/317134711_INFORMATION_SECURITY_RISKS_IN_SUPPLY_CHAIN_MANAGEMENT_A_REVIEW_OF_LITERATURE_FOR_THE_DEVELOPING_COUNTRY_CONTEXT

[6] https://www.france24.com/en/20190926-airbus-hit-by-series-of-cyber-attacks-on-suppliers