Leverandørkjederisiko og usikkerhet

Leverandørkjederisiko er et omfattende tema med mange innfallsvinkler. Jeg kommer i denne artikkelen til å fokusere på to forhold som jeg tenker er spesielt relevante.

1. Geopolitisk risiko som følge av avhengighet til andre stater

Det første er geopolitisk risiko som følger med bruk av tjenester fra andre stater. Først og fremst aktualisert ved bruk av amerikanske leverandørers skytjenester, men problemstillingen avgrenser seg ikke utelukkende til dette. De fleste leverandører tilbyr i dag nyere og moderne kapabiliteter som Software as a Service (SaaS)-tjenester. Enten det er i nye og moderne brannmurer eller sikkerhetstjenester med Extended Detection and Respons (XDR)-funksjonalitet. For å være i stand til å analysere data fra potensielle sikkerhetshendelser i sanntid opp imot de kontinuerlige endringene i trusselbildet, ved hjelp av det siste og nyeste innen AI-teknologi – må noe data overføres til leverandøren.

Dette er data som potensielt kan være svært sensitive og som forteller mye om sikkerhetstilstanden til virksomhetens IT-systemer. For eksempel hvilke sårbarheter som kan utnyttes. Dette er informasjon som en virksomhet ikke ønsker at skal komme på avveie – men som samtidig overføres til en ekstern leverandør via SaaS-tjenesten, dersom man tar i bruk en moderne sky-basert brannmur eller XDR-kapabilitet. Her må risikoen for at informasjonen potensielt kan komme avveie via leverandøren veies opp imot nytteverdien man får av å anskaffe det siste og nyeste av sikkerhetsløsninger. Og min påstand er at en god del sikkerhetsmiljøer først og fremst fokuserer på det første – altså risikoen for at informasjon kan komme på avveie – og i mindre grad på det siste, altså nytteverdien (eller gevinsten) som man kan oppnå som følge av å ta noe risiko. I dette tilfellet muligheten til å oppdage en motivert angriper som forsøker å utnytte sårbarheter i virksomhetens IT-systemer. Her må ulemper veies opp imot gevinster.

Bruk av skytjenester krever tillit til at leverandøren forvalter informasjonen sikkert. I tillegg til kravstilling ovenfor leverandøren så man sikrer at mekanismer som beskytter virksomhetens sensitive informasjon, er på plass. Men det vil alltid komme med noe usikkerhet. Vil leverandøren kunne aksessere våre sensitive data? Vil en utro tjener hos leverandøren kunne få urettmessig tilgang? Vil de kunne bli utsatt for et målrettet cyberangrep slik at våre data kommer på avveie? Alle disse scenarioene er mulig – og i en verden hvor trusselaktørene i økende grad utfører leverandørkjedeangrep som en inngangsvektor mot andre virksomheters IT-systemer, så er sannsynligheten til stede.

2. Målrettede angrep mot produsenter av maskin- og programvare

Da er vi over på det neste temaet jeg ønsker å belyse knyttet til leverandørkjederisiko: Målrettede angrep mot produsenter av maskin- og programvare som vi benytter oss av.

For eksempel fikk den russiske utenlandsetterretningstjenesten SVR i 2020 plantet en bakdør i SolarWinds programvare for nettverksmonitorering. Bakdøren kom gjennom en oppdatering til SolarWinds Orion-plattform. En oppdatering som 18,000 av de totalt 33,000 kundene av programvaren lastet ned. Påfølgende undersøkelser viste at den russiske etterretningstjenesten kompromitterte SolarWinds sitt utviklingsmiljø ved å utnytte et svakt passord: SolarWinds123. Dette var inngangsvektoren til det som nesten ett og et halvt år senere førte til at flere hundre amerikanske virksomheter, herunder flere deler av det føderale statsapparatet, inkludert Justisdepartementet, ble kompromittert.

Trusselaktøren kompromitterte SolarWinds sine systemer 4. september 2019. Først i desember 2020, ett og et halvt år senere, ble operasjonen offentlig kjent. Og selv om norske virksomheter benyttet programvaren og lastet opp den skadelige bakdøren med kodenavn SUNBURST, så ble ikke bakdøren utnyttet her i Norge. Den russiske utenlands etterretningstjenesten hadde USA som sitt hovedmål med den sofistikerte operasjonen.

Det er i den forbindelse verdt å legge merke til at intensjon er avgjørende når man står overfor aktører med betydelige kapasiteter. Det at en sårbarhet er mulig å utnytte betyr ikke at den vil bli utnyttet mot deg. Men igjen, dette fører til en usikkerhet – fordi man ikke vet. Og vi kunne fortsatt med andre eksempler. XZ-bakdøren som i fjor ble avdekket ved en tilfeldighet av en utvikler i Microsoft, hvor trusselaktøren brukte sosial manipulasjon for å overta vedlikeholdet av et kodebibliotek som ble benyttet i alle linux-distribusjoner, var en øyeåpner for mange. Den sofistikerte etterretningsoperasjonen for å manipulere utvikleren med ansvar for å vedlikeholde kodebiblioteket, illustrerte hvor sårbar leverandørkjeden til kritiske komponenter i mye utbredt open-source programvare, kan være. Og det er ikke bare open-soruce programvare som er sårbar. Snarere tvert imot.

De fleste i denne salen husker nok at Departementenes IT-plattform ble kompromittert sommeren for to år siden. Flere nulldagssårbarheter i Ivanti Endpoint Manager Mobile (EPMM) ble utnyttet av stats-tilknyttede aktører, sommeren 2023. Det samme året som departementenes IT-plattform ble kompromittert, ble 34 nulldagssårbarheter i Ivantis produkter registrert. Og i fjor ble hele 86 nulldagssårbarheter i samme leverandørens produkter registrert. Flere av dem ble utnyttet av kinesiske stats-tilknyttede aktører – og det har fortsatt i 2025. I januar, februar, mars, april og mai i år, har kinesiske hackere fortsatt å kompromittere Ivantis produkter. For en drøy måned siden, i midten av mai, ble to nulldagssårbarheter i Ivanti EPMM utnyttet i en angrepskjede av kinesiske aktører. Det samme produktet som ble utnyttet for å kompromittere departementene for to år siden.

Det som imidlertid er interessant å merke seg, er at før 2023, altså samme året som departementene ble kompromittert, så var det i underkant av ti nulldagssårbarheter i Ivantis produkter som ble registrert. I fjor var tallet oppe i 86. Og hittil i år er antallet 17. Kvaliteten og sikkerheten i produktene som vi bygger våre IT-systemer med, er nemlig avgjørende for hvor lett det kan være å kompromittere vår virksomhet. Noen produsenter leverer mindre sikre produkter enn andre – og produktene utgjør vår leverandørkjede. De kan med andre ord være inngangsvektoren for å utføre spionasje, sabotasje eller manipulering av våre systemer. Samtidig er det viktig å ta med at trusselaktørene er fullt klar over dette – så de mest avanserte aktørene spesialiserer seg på arkitekturen til sårbare produkter. Slik at angriperne identifiserer nye nulldagssårbarheter som kan utnyttes før produsenten selv er i stand til å identifisere dem. Dette er en av de sentrale årsakene til at vi nå, i lang tid, har sett kinesiske trusselaktører utnytte Ivantis produkter. Og Ivanti er ikke den eneste produsenten – men de har vært i spesielt hardt vær de to siste årene. Blant annet fordi internett-eksponerte komponenter, såkalte ‘networking edge devices’, er attraktive mål for angriperne. Det er mange sårbarheter å utnytte og det er enklere å skjule trusselaktørens aktivitet. Fordi komponentene ofte er ‘black-boxes’ som vi har lite innsyn i aktiviteten på – og som trusselaktørene derfor enkelt kan utnytte.

Dette skaper igjen usikkerhet om vår leverandørkjede og produktene som vi bygger våre IT-systemer av, kan være den neste inngangsvektoren som trusselaktørene benytter seg av. Og i min verden er fremdeles denne håndfaste risikoen betydelig større for mange virksomheter enn den som frem til nå har fulgt med bruk av amerikanske skytjenester. Men sistnevnte skaper usikkerhet. En usikkerhet som fører tilbake til utgangspunktet i innledningen nemlig den som følger med bruk av tjenester fra amerikanske leverandører.

Konsentrasjonsrisiko skaper usikkerhet – og usikkerhet er ubehagelig

Etter at Donald Trump inntok det hvite hus i januar, har det vært mye oppmerksomhet – også her i Norge – knyttet til bruk av amerikansk teknologi. Og det med god grunn. Det er urovekkende å se hvordan Trump og hans administrasjon går til personlig vendetta mot personer som de misliker. For eksempel den tidligere direktøren for den amerikanske sikkerhetsmyndigheten CISA, Chris Krebs. Krebs var direktør for CISA og hadde ansvaret for sikkerheten knyttet til valggjennomføringen i 2020, samme året som Donald Trump tapte presidentvalget mot Joe Biden. I april i år inndro Trump sikkerhetsklareringen fra Krebs og pauset all aktivitet med selskapet som Krebs var ansatt i, Sentinel One. Dette gjennom å utstede en formell Executive Order fra Det hvite hus. Tilsvarende har Trump utstedt sanksjoner mot sjefsanklager Karim Khan ved den internasjonale straffedomstolen (ICC). Og for noen få uker siden fikk ikke lengre Khan tilgang til sin e-post konto levert fra Microsoft sine skytjenester. Utviklingen er urovekkende, men kanskje ikke så overraskende all den tid teknologi har blitt en geopolitisk maktfaktor.

Så er spørsmålet, vil tilsvarende fremgangsmåter kunne blitt benyttet mot oss? Svaret på det er at det vet vi ikke. Og det skaper usikkerhet. Derfor ønsker mange av oss å redusere usikkerheten ved å redusere sårbarhet – i dette tilfellet avhengigheten til USA.

Men det kommer også med en kostnad. Enten så må leverandøren bære deler av kostnaden ved at de frikobler seg fra USA og dermed også amerikansk lovgivning. Eller så må vi som kunder bære kostnaden ved å velge andre alternativer. Kinesiske Alibaba Cloud er kanskje ikke et så mye bedre alternativ for de fleste i denne salen – så da er vi tilbake til drift av e-post fra vår interne infrastruktur. Eller vi må se etter europeiske alternativer – men også de kommer med risiko. Så her er ingen alternativer risikofrie.

Konklusjon: Hvordan Norge bør forholde seg til leverandørkjederisiko

Det som kanskje er viktigst å unngå for Norge sin del, og da snakker jeg for staten – ikke nødvendigvis hver enkelt virksomhet, er å unngå en altfor stor konsentrasjonsrisiko. For det gir potensielt mulighet til å presse og påvirke Norge, dersom den fremmede staten ser det som fordelaktig. I 2021 ble det kartlagt at 199 offentlige virksomheter i Norge benyttet tjenester fra de tre store hyperscalerne, et stort flertall tjenester fra Microsoft. Dette var virksomheter innen alle departementssektorene i Norge – inkludert sjefen sjøl ved Statsministerens kontor. Vår avhengighet har trolig ikke blitt mindre siden den tid, snarere tvert imot. Men selv om det er ubehagelig å reflektere over vår avhengighet på IT-siden, er det også viktig å huske på at Norge har betydelige avhengigheter til USA på forsvarssiden. F-35 kampflyene for å nevne ett eksempel. Den delen av samfunnet som må virke dersom det mest krevende scenarioet, altså krig og væpnet konflikt, inntreffer.

Vi kan og bør jobbe langsiktig i Norge for å redusere vår konsentrasjonsrisiko, slik at vi ikke enkelt kan utsettes for ufordelaktig press. Men vi vil ha avhengigheter til andre stater som en del av vår leverandørkjederisiko så lenge vi tar i bruk teknologi for å skape et digitalt samfunn. Det gir oss nye og bedre tjenester – også innen sikkerhetsområdet.

Kommentaren ble først publisert på forfatterens LinkedIn-profil. Kommentaren er gjengitt med tillatelse.