Ikke la leverandøren bli det svakeste leddet
19. mars 2026 ble det populære sikkerhetsverktøyet Trivy kompromittert av hackergruppen TeamPCP. Angrepet var sofistikert: skadevaren hentet ut hemmeligheter fra systemer, men lot verktøyet fungere som normalt. Dermed ble angrepet svært vanskelig å oppdage.
Konsekvensene ble alvorlige. EU-kommisjonen fikk kompromittert en AWS-nøkkel, noe som førte til en datalekkasje på opptil 340 GB med blant annet personopplysninger og e-postinnhold. Dataene ble senere publisert, og minst 29 EU-organer kan ha blitt berørt.
Dette viser en tydelig trend: angripere går etter leverandører og utviklingsverktøy for å ramme mange samtidig. Når tilliten brytes ett sted i kjeden, får det konsekvenser langt utover én virksomhet.
Ansvar for leverandøroppfølging
Digitalsikkerhetsloven krever at virksomheter har kontroll på egen risiko, også hos leverandører. Det holder ikke å stole på leverandøren, man må stille krav, følge opp og håndtere avvik.
Med NIS2 blir dette ytterligere skjerpet. Virksomheter må aktivt vurdere sikkerheten i hele leverandørkjeden, og kravene vil i praksis forplante seg til alle leverandører, også de som ikke er direkte regulert.
Kort sagt: leverandøroppfølging er ikke lenger valgfritt. Det er et ledelsesansvar.
Strategi for leverandøroppfølging
Hvordan følger man opp leverandører effektivt? Svaret avhenger av maktforholdet mellom kunde og leverandør. Store kunder kan pålegge mindre leverandører revisjoner og sikkerhetstester gjennom kontrakter, mens mindre kunder ofte må nøye seg med dokumentasjon fra de store leverandørene. NIS2 vil likevel presse leverandører til å dokumentere sitt sikkerhetsarbeid, noe som utjevner forholdet.
Under har jeg beskrevet 3 strategier som er viktige:
Start i anskaffelsen
Den største påvirkningskraften har du før kontrakten signeres. Still konkrete krav til sikkerhet, ikke generelle formuleringer.
Gode krav til blant annet tilgangsstyring, logging, hendelseshåndtering og underleverandører gjør oppfølgingen enklere og billigere senere.
Min erfaring: God kravstilling i starten reduserer både risiko, kostnader og tidsbruk i hele livsløpet.
Bruk kontrakten aktivt
Kontrakten er ditt viktigste styringsverktøy. Uten tydelige krav blir sikkerhet i praksis frivillig.
Særlig viktig er:
- Rett til sikkerhetsrevisjon
- Krav til dokumentasjon og rapportering
- Kontroll på underleverandører
- Klare sanksjoner ved avvik
Min erfaring: Uten revisjonsrett nedfelt i avtale har du i realiteten ingen måte å kontrollere hvordan sikkerheten er ivaretatt hos leverandør.
Velg riktig oppfølgingsnivå
Sikkerhetsrevisjon
- Gir god oversikt og dokumentasjon
- Ressurskrevende – bør brukes der risikoen er høy
Penetrasjonstesting
- Avdekker reelle sårbarheter
- Kan være kostbart, men svært effektivt
- Egner seg godt som stikkprøver
Leverandørdialog
- Lav kostnad, høy effekt
- Bygger samarbeid og forbedring over tid
- Bør være grunnmuren i oppfølgingen
Min erfaring: Dialog kombinert med målrettede kontroller gir ofte best effekt per krone.
Oppsummering
Leverandørkjeden er en av de største angrepsflatene i moderne IT. Trivy-angrepet viser hvor galt det kan gå når et enkelt ledd kompromitteres.
Virksomheter må derfor:
- stille tydelige krav i anskaffelsen
- bruke kontrakter aktivt
- følge opp leverandører risikobasert
De som lykkes, ser ikke bare på egen sikkerhet, men på hele økosystemet de er en del av.
For i dag er det ikke lenger spørsmålet om du blir angrepet, men gjennom hvem.
Cyberhuset tilbyr kurs til ledere og ansatte som arbeider med cybersikkerhet:
CISO kurset gir deg sertifisering for å lede sikkerhetsarbeidet i en virksomhet.
Enterprise Cloud Security Architect kurset gir deg kunnskap om sikkerhet i skyen og oppfølging av leverandører.
ISO 27001 Lead Implementer gir deg det som skal til for å styrke sikkerheten i egen virksomhet.