Bara drygt hälften av experterna som jobbar inom den kritiska infrastrukturen i Norden litar på att den egna organisationen klarar av att identifiera cyberhot i sin leveranskedja. Som exempel på kritiska punkter i leveranskedjan nämns komponenter, program och utomstående serviceproducenter.
Det visar en enkät som besvarats av 1 150 experter inom kritisk infrastruktur i femtio olika länder. Cybersäkerhetsbolaget DNV Cyber har låtit göra enkäten, i Norden besvarades den av 207 personer. Bland dem fanns också finländare.
Genom att nästla sig in i en organisation via leveranskedjan kan brottslingar få tillgång till viktiga system, affärshemligheter och information som berör den nationella säkerheten.
Bara en av fyra i de nordiska länderna anser att utbildningen som erbjuds de anställda ger färdigheter att möta avancerade hot. Hela 30 procent tror att cyberbrottslingar redan kan ha infiltrerat organisationens leveranskedja, utan att leverantören har rapporterat om saken.
Säkerheten, samhället och ekonomin hotas
Enligt DNV Cyber borde säkerhetskraven utvidgas till att gälla alla uppköp och avtal som en organisation gör.
– Om finländska organisationer skulle ha bättre koll på sin leveranskedja, så kunde de ha bättre beredskap vid sofistikerade hackningsförsök, säger chefen för hanterande tjänster Jan Mickos.
Som exempel på sådana nämns vågen av attacker och cyberintrång som började år 2023, då en sårbarhet upptäcktes i Moveit, en programvara för filöverföring. Också finländska organisationer och företag drabbades. Bland dem fanns till exempel Valmet.
Hoten är speciellt allvarliga mot den nationella säkerheten, samhället och ekonomin. Finländska myndigheter och banker har de senaste åren utsatts för cyberattacker och hackningsförsök, och har tidvis haft svårt att upprätthålla sina basfunktioner som en följd av dem.
EU-direktiv höjer säkerhetskraven
Riksdagen behandlar som bäst förslaget om hur EU:s nya cybersäkerhetsdirektiv ska tillämpas i Finland. Direktivet ska införlivas i den nationella lagstiftningen genom en cybersäkerhetslag.
Direktivets tillämpningsområde omfattar i större utsträckning än tidigare till exempel aktörer inom energi- och hälsovårdssektorn, samt de som upprätthåller digitala infrastrukturer.
Direktivet räknar bland annat upp de minimiåtgärder som aktörerna ska vidta för att hantera risker som är förknippade med deras verksamhet. I lagförslaget ingår också krav på leveranskedjans säkerhet.
Av de som svarade på enkäten tror ändå 62 procent att den egna organisationen klarar av att införliva de nya cybersäkerhetsförpliktelserna i sina avtal med leverantörer.