I over ti år har danske virksomheder sendt data om vores veje, broer og kritiske infrastruktur gennem et russisk softwareprogram.
Softwaren hedder Agisoft Metashape. Den er udviklet i Sankt Petersborg. Og den er allerede sortlistet i Tyskland og Schweiz.
Alligevel har leverandører til Vejdirektoratet brugt den i årevis til at behandle dronebilleder af dansk infrastruktur. Ifølge Børsen er billeder af metrobyggeriet, Amagerværket, letbanen omkring København og nedgravede rør og ledninger alle blevet behandlet i programmet.
Vejdirektoratet vidste det ikke. For det var jo leverandørens valg.
Nu strammer de reglerne
Russisk software må ikke længere bruges på opgaver for Vejdirektoratet.
Det kom tre dage efter, at forsvarsminister Troels Lund Poulsen erklærede, at Danmark befinder sig i hybridkrig med Rusland.
Risikoen er ikke teoretisk
Ifølge Tobias Liebetrau, cybersikkerhedsforsker ved Københavns Universitet, kan softwaren potentielt overføre data til russiske myndigheder. Eller den kan indeholde bagdøre, der giver fjernadgang til danske systemer.
Det er præcis den type adgang, som kan bruges til at forberede fremtidige angreb på kritisk infrastruktur.
Det rammer ikke kun store myndigheder
Ifølge Styrelsen for Samfundssikkerhed har 40 procent af danske SMV’er et utilstrækkeligt IT-sikkerhedsniveau. Samtidig udliciterer 73 procent af SMV’erne deres IT-sikkerhed helt eller delvist til eksterne leverandører.
Her kommer problemet: En fjerdedel af de SMV’er, der bruger eksterne leverandører, stiller slet ikke krav til leverandørens IT-sikkerhedsforanstaltninger eller softwarevalg.
Det betyder, at du kan have styr på din egen sikkerhed, mens din leverandør sender dine data gennem software fra et højrisikoland.
Det ukendte softwarevalg
De fleste SMV’er kender ikke svaret på et simpelt spørgsmål: Hvilken software bruger mine leverandører egentlig?
Leverandøren vælger værktøjerne ud fra pris og funktionalitet. Ikke nødvendigvis ud fra geopolitisk risiko eller sikkerhedsvurderinger. Og medmindre I aktivt spørger, får I det aldrig at vide.
Tre ting du kan gøre nu
For det første: Kortlæg kritiske leverandører. Hvem behandler jeres følsomme data? Bed om dokumentation for, hvilken software de anvender, og hvor den kommer fra. Det er ikke et urimeligt spørgsmål.
For det andet: Opdatér jeres kontrakter. Inkludér krav om, at leverandører ikke må bruge software fra højrisikolande uden forudgående godkendelse. Det gælder særligt Rusland og Kina. Hvis leverandøren ikke vil acceptere det, er det i sig selv et svar.
For det tredje: Lav en exit-plan. Hvis en leverandør udgør en sikkerhedsrisiko, skal I kunne skifte hurtigt. Det kræver, at I ved, hvilke data de har adgang til, og hvordan I får dem tilbage.
Ti år før problemet blev opdaget
Vejdirektoratet opdagede problemet efter ti år. Og de er en stor myndighed med ressourcer til at reagere.
Hvornår har du sidst spurgt dine leverandører, hvilken software de bruger til at behandle jeres data?
En leverandøraudit kan give jer overblik over, hvilken software jeres leverandører anvender, hvor data behandles, og om der er risici, I ikke kender til. Vi stiller de spørgsmål, som de færreste tænker på at stille.
For virksomheder, der vil have et samlet billede af sikkerhedsniveauet, tilbyder vi cybersikkerhedsaudit, der dækker både jeres egne systemer og jeres leverandørkæde.
Har I brug for hjælp til at formulere sikkerhedskrav i kontrakter, kan vi også bistå med IT-rådgivning.
Vil du vide, hvad jeres leverandører bruger?
Hos Nielco IT hjælper vi virksomheder med at kortlægge leverandørrisici og stille de rigtige krav. Vi har ingen leverandørpartnerskaber og vurderer udelukkende ud fra jeres interesse.
Kontakt os eller ring på 70 13 63 23 for en uforpligtende snak.
