800 svenske Coop-butikker lukkede i en hel uge.
Ikke på grund af strejke eller strømsvigt. Men på grund af et firma i Miami, de aldrig havde hørt om.
Betalingssystemer. Kasseapparater. Selvbetjening. Vægte. Alt var nede.
Coop blev ikke selv hacket. Deres betalingsleverandør Visma Esscom blev det heller ikke. Men Visma brugte software fra Kaseya. Og Kaseya blev ramt af ransomware.
Én sårbarhed, tre led væk. 800 butikker lammet.
Sveriges forsvarsminister kaldte det “meget farligt”. Coop sagde bagefter: “Der findes ikke 100% sikkerhed. Vi kunne ikke have forhindret det, der skete med os.”
Det er ikke et enkeltstående tilfælde
I 2020 blev 18.000 virksomheder kompromitteret gennem én softwareopdatering fra SolarWinds. US Homeland Security, US Treasury, Microsoft, Cisco, Intel. Alle ramt. Angriberne var inde i 14 måneder, før de blev opdaget.
I 2023 ramte MOVEit-angrebet over 2.700 organisationer. 93 millioner menneskers data lækket. BBC, British Airways, US Department of Energy. Mange af ofrene brugte ikke selv MOVEit. De brugte en leverandør, der brugte en underleverandør, der brugte en under-underleverandør, der brugte MOVEit.
I 2024 gik CDK Global ned. 15.000 bilforhandlere i Nordamerika lammet i to uger. Tab: over 1 milliard dollars. Forhandlerne måtte skrive kontrakter i hånden.
Tallene er ikke til diskussion
30% af alle databrud involverer nu en tredjepart. Det er en fordobling på ét år.
61% af virksomheder oplevede et tredjepartsbrud i 2024. Det er tre gange højere end i 2021.
Gennemsnitlig omkostning ved et supply chain-brud: 35 millioner kroner.
Og alligevel: 74% siger, at deres leverandørvalg overser kritiske risici. 64% indrømmer, at de vælger leverandør på pris frem for sikkerhed.
Hackerne går efter bagdøren
De fleste virksomheder bruger al deres energi på at sikre deres egne systemer. Firewalls. Endpoint protection. Awareness-træning. Alt det rigtige.
Men hackerne har for længst opdaget, at hoveddøren er låst.
Så de går efter bagdøren. Din revisor. Din cloud-leverandør. Din lønadministration. Din IT-supporter. De har alle adgang til jeres systemer.
Har I nogensinde spurgt, hvordan de sikrer sig?
NIS2 gør det nu til et lovkrav
Artikel 21 i NIS2-direktivet kræver, at I vurderer jeres leverandørers cybersikkerhed. Ikke kun de direkte leverandører. Også deres underleverandører.
Og det er ikke nok at dokumentere, at I har gjort forsøget. Resultaterne tæller.
Hvis jeres leverandør bliver kompromitteret, og I ikke kan dokumentere due diligence, så er det jeres problem. Ikke deres.
Coop havde ikke en kontrakt med Kaseya. Havde nok aldrig hørt om dem. Alligevel blev de ramt.
Fem spørgsmål til næste ledelsesmøde
Kender I alle jeres leverandørers underleverandører? De fleste virksomheder kender deres direkte leverandører. Men hvad med leverandørernes leverandører? Det var dér, Coop blev ramt.
Hvis jeres vigtigste leverandør går ned i morgen: Hvad er jeres plan B? Har I alternative leverandører identificeret? Kan I skifte hurtigt, eller er I låst fast?
Hvornår har I sidst bedt om dokumentation for en leverandørs sikkerhed? Ikke bare en checkboks i en kontrakt, men reel dokumentation. Certifikater. Audit-rapporter. Beredskabsplaner.
Står der noget om cybersecurity i jeres kontrakter? Eller kun pris og leveringstid? Mange kontrakter nævner ikke sikkerhed med ét ord.
Hvornår fik I sidst gennemført en professionel cybersikkerhedsaudit? Ikke af jeres egen IT, men af hele jeres leverandørkæde.
Få overblik over jeres leverandørrisiko
Et leverandøraudit kortlægger, hvem der har adgang til jeres systemer og data, hvilke afhængigheder I har, og hvor kæden er svagest.
En cybersikkerhedsaudit giver jer det samlede billede af jeres sikkerhedsposition, inklusiv de risici, der kommer udefra.
Og et NIS2-audit sikrer, at I lever op til de nye lovkrav om leverandørstyring, før tilsynet banker på.
Coop havde aldrig hørt om Kaseya. Alligevel kostede det dem en uges omsætning i 800 butikker. Hvem i jeres leverandørkæde har I aldrig hørt om?
Har du brug for at kortlægge jeres leverandørrisiko? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
