Ikke la leverandøren bli det svakeste leddet

Ikke la leverandøren bli det svakeste leddet

19. mars 2026 ble det populære sikkerhetsverktøyet Trivy kompromittert av hackergruppen TeamPCP. Angrepet var sofistikert: skadevaren hentet ut hemmeligheter fra systemer, men lot verktøyet fungere som normalt. Dermed ble angrepet svært vanskelig å oppdage.

Konsekvensene ble alvorlige. EU-kommisjonen fikk kompromittert en AWS-nøkkel, noe som førte til en datalekkasje på opptil 340 GB med blant annet personopplysninger og e-postinnhold. Dataene ble senere publisert, og minst 29 EU-organer kan ha blitt berørt.

Dette viser en tydelig trend: angripere går etter leverandører og utviklingsverktøy for å ramme mange samtidig. Når tilliten brytes ett sted i kjeden, får det konsekvenser langt utover én virksomhet.

Ansvar for leverandøroppfølging

Digitalsikkerhetsloven krever at virksomheter har kontroll på egen risiko, også hos leverandører. Det holder ikke å stole på leverandøren, man må stille krav, følge opp og håndtere avvik.

Med NIS2 blir dette ytterligere skjerpet. Virksomheter må aktivt vurdere sikkerheten i hele leverandørkjeden, og kravene vil i praksis forplante seg til alle leverandører, også de som ikke er direkte regulert.

Kort sagt: leverandøroppfølging er ikke lenger valgfritt. Det er et ledelsesansvar.

Strategi for leverandøroppfølging

Hvordan følger man opp leverandører effektivt? Svaret avhenger av maktforholdet mellom kunde og leverandør. Store kunder kan pålegge mindre leverandører revisjoner og sikkerhetstester gjennom kontrakter, mens mindre kunder ofte må nøye seg med dokumentasjon fra de store leverandørene. NIS2 vil likevel presse leverandører til å dokumentere sitt sikkerhetsarbeid, noe som utjevner forholdet. 

Under har jeg beskrevet 3 strategier som er viktige:

Start i anskaffelsen

Den største påvirkningskraften har du før kontrakten signeres. Still konkrete krav til sikkerhet, ikke generelle formuleringer.

Gode krav til blant annet tilgangsstyring, logging, hendelseshåndtering og underleverandører gjør oppfølgingen enklere og billigere senere.

Min erfaring: God kravstilling i starten reduserer både risiko, kostnader og tidsbruk i hele livsløpet.

Bruk kontrakten aktivt

Kontrakten er ditt viktigste styringsverktøy. Uten tydelige krav blir sikkerhet i praksis frivillig.
Særlig viktig er:

  • Rett til sikkerhetsrevisjon
  • Krav til dokumentasjon og rapportering
  • Kontroll på underleverandører
  • Klare sanksjoner ved avvik

Min erfaring: Uten revisjonsrett nedfelt i avtale har du i realiteten ingen måte å kontrollere hvordan sikkerheten er ivaretatt hos leverandør.

Velg riktig oppfølgingsnivå

Sikkerhetsrevisjon

  • Gir god oversikt og dokumentasjon
  • Ressurskrevende – bør brukes der risikoen er høy

Penetrasjonstesting

  • Avdekker reelle sårbarheter
  • Kan være kostbart, men svært effektivt
  • Egner seg godt som stikkprøver

Leverandørdialog

  • Lav kostnad, høy effekt
  • Bygger samarbeid og forbedring over tid
  • Bør være grunnmuren i oppfølgingen

Min erfaring: Dialog kombinert med målrettede kontroller gir ofte best effekt per krone.

Oppsummering

Leverandørkjeden er en av de største angrepsflatene i moderne IT. Trivy-angrepet viser hvor galt det kan gå når et enkelt ledd kompromitteres.

Virksomheter må derfor:

  • stille tydelige krav i anskaffelsen
  • bruke kontrakter aktivt
  • følge opp leverandører risikobasert

De som lykkes, ser ikke bare på egen sikkerhet, men på hele økosystemet de er en del av.

For i dag er det ikke lenger spørsmålet om du blir angrepet, men gjennom hvem.


Cyberhuset tilbyr kurs til ledere og ansatte som arbeider med cybersikkerhet:

CISO kurset gir deg sertifisering for å lede sikkerhetsarbeidet i en virksomhet.

Enterprise Cloud Security Architect kurset gir deg kunnskap om sikkerhet i skyen og oppfølging av leverandører.

ISO 27001 Lead Implementer gir deg det som skal til for å styrke sikkerheten i egen virksomhet.

Tilbake til bloggen