36.635 danskere fik i november en ubehagelig mail fra Røde Kors.
Deres persondata var lækket. Ikke på grund af Røde Kors’ egen sikkerhed, men deres leverandørs.
TMPO og CrushFTP
Den danske virksomhed TMPO leverer kundeservice og fundraising til organisationer som Røde Kors. Til sikker filudveksling brugte de CrushFTP, et amerikansk filoverførselssystem.
Hackere fandt en vej ind.
Navne, e-mails og telefonnumre på frivillige indsamlere, parathjælpere og donorer endte i forkerte hænder. Ifølge en kommentar på Version2 blev også CPR-numre fra andre af TMPO’s kunder kompromitteret, fra kampagner der gik helt tilbage til 2021.
Patches havde været tilgængelige i månedsvis
CrushFTP har i 2025 haft to kritiske sårbarheder. Begge med CVSS-score over 9. Begge aktivt udnyttet af hackere. Begge tilføjet til CISA’s liste over kendte udnyttede sårbarheder.
Den amerikanske myndighed gav organisationer frist til 12. august med at patche.
TMPO blev ramt i november. Patches havde været tilgængelige i månedsvis. Men patching kræver, at nogen rent faktisk gør det.
Filoverførselssystemer er hackerens foretrukne mål
Det er ikke første gang filoverførselssystemer bliver hackernes foretrukne indgang.
MOVEit ramte over 2.100 organisationer i 2023. GoAnywhere ramte 130 virksomheder samme år. Cleo ramte 200 i slutningen af 2024.
Mønsteret er tydeligt. Angriberne ved, at én sårbar leverandør åbner døren til hundredvis af kunder på én gang.
Danske SMV’er stiller ikke krav
Problemet er udbredt herhjemme. 40% af danske SMV’er har ifølge SAMSIK et sikkerhedsniveau, der ikke matcher deres risikoprofil.
Ifølge en SDU-rapport har SMV’er “lav grad af praksis”, når det handler om at stille sikkerhedskrav til leverandører, vurdere risici ved deres produkter eller sætte krav i kontrakter.
Det er her problemet ligger.
Din leverandørs sårbarhed er din sårbarhed
Du kan have styr på din egen sikkerhed. Men hvis din leverandør ikke patcher, er det lige meget.
Deres sårbarhed bliver din sårbarhed. Deres databrud bliver dit databrud. Og det er dit navn, der står på mailen til kunderne.
Fem ting du kan gøre nu
Kortlæg dine kritiske leverandører. Hvem håndterer jeres kundedata, og hvilke systemer bruger de til at opbevare og overføre dem? Start med dem, der har adgang til persondata.
Stil konkrete spørgsmål. Hvornår opdaterede I sidst jeres filoverførselssoftware? Har I en dokumenteret proces for sikkerhedsopdateringer inden for en bestemt frist? Hvis de ikke kan svare, er det et advarselstegn.
Sæt sikkerhedskrav ind i kontrakterne. Patchingfrister, audit-ret, krav om underretning ved sikkerhedshændelser og konsekvenser, hvis kravene ikke overholdes. Mundtlige aftaler er ikke nok.
Kræv dataminimering. TMPO havde angiveligt data fra kampagner helt tilbage fra 2021 liggende. Hvis leverandøren ikke har brug for dine data længere, skal de slettes. Ikke arkiveres. Slettes.
Test jeres leverandørers svar. Bed om dokumentation. En leverandør, der ikke kan svare på basale sikkerhedsspørgsmål, er en leverandør, der udgør en risiko for din forretning.
Røde Kors gjorde ikke noget forkert
De valgte en leverandør, der ikke havde styr på sikkerheden.
Og det var nok til, at 36.635 menneskers data blev kompromitteret.
Få overblik over jeres leverandørrisiko
Et leverandøraudit kortlægger, hvilke leverandører der har adgang til jeres data, hvilke systemer de bruger, og om de lever op til basale sikkerhedskrav.
En NIS2-audit sikrer, at I kan dokumentere jeres leverandørstyring over for tilsynsmyndigheder og kunder, der stiller krav.
Og en cybersikkerhedsaudit giver jer det samlede billede af jeres sikkerhedsposition, inklusiv de risici, der kommer via jeres leverandørkæde.
Hvornår fik du sidst en uvildig ekspert til at gennemgå, hvilke risici dine leverandører udgør?
Har du brug for at kortlægge jeres leverandørrisiko? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
