”Därför kan din samarbetspartner bli din svagaste länk”

Den nya verkligheten

Att antalet dataintrång via tredje part har fördubblats utgör en av de mest betydelsefulla förändringarna i dagens hotlandskap. Angripare väljer den väg som möter minst motstånd, och det innebär i allt större utsträckning att de utnyttjar leverantörers sårbarheter istället för att rikta in sig direkt på välskyddade företagsmiljöer.

Företag har ofta begränsad insyn i vad deras externa parter faktiskt gör och vilka behörigheter de har. Särskilt oroande är att edge-enheter som VPN:er och brandväggar, tidigare betraktade som grundläggande skyddsåtgärder, nu allt oftare används som angreppspunkter. Andelen sårbarhetsutnyttjanden riktade mot just dessa har ökat med mer än sju gånger, från 3 procent i fjol till 22 procent i årets rapport.

Inloggningsuppgifter – en öppen dörr

Läckta inloggningsuppgifter är en annan enkel väg in för hotaktörer. Enligt DBIR 2025 gör dessa uppgifter företag sårbara i 94 dagar innan de åtgärdas.

Än mer oroväckande är att angripare i allt större utsträckning använder specialiserade verktyg för att systematiskt identifiera och utnyttja sådana exponeringar i stor skala.

Snowflake-intrånget är ett tydligt exempel. Analysen visade att cirka 80 procent av de konton som användes av angriparna redan hade fått sina uppgifter exponerade, antingen genom skadlig kod som stjäl information eller genom att uppgifterna lämnats oskyddade i publika kodarkiv.

Senaste tidens intrång hos specialiserade tjänsteleverantörer har orsakat allvarliga driftstörningar inom bland annat sjukvård, detaljhandel och livsmedelsbranschen. Vissa av dessa incidenter har inte bara lett till att miljontals personuppgifter har röjts, de har även resulterat i omfattande driftstopp för företagen som förlitat sig på tjänsterna.

Crowdstrike-incidenten, där en felaktig uppdatering från en betrodd leverantör orsakade globalt driftstopp på bara några minuter, visar tydligt hur sårbart dagens ekosystem är. Data från cyberförsäkringar visar att även icke-avsiktliga misstag hos tredje parter kan orsaka omfattande verksamhetsavbrott.

I takt med att allt fler affärskritiska funktioner förlitas på system utanför den egna organisationens kontroll, ökar också risken för kedjereaktioner där ett enda misslyckande påverkar hela branscher.

Dags att tänka om

De traditionella metoderna för att hantera tredjepartssäkerhet räcker inte längre. Årliga enkätundersökningar bör ersättas med bevisbaserade bedömningar och kontinuerlig övervakning. Vi har funnit att säkerhetsresultat från leverantörer bör vara en integrerad del av inköpsprocessen – och att det krävs tydliga rutiner för att hantera återkommande brister.

För leverantörer som hanterar dina data, bör fokus ligga på säkerheten och motståndskraften i deras miljöer. För aktörer som kopplar upp sig mot ditt nätverk, krävs strikt segmentering och autentiseringskrav – ibland ännu striktare än för interna användare.

Tredje parter bör omfattas av högre autentiseringskrav än interna användare, med tanke på den ökade risken kopplad till privilegierad åtkomst. Säkerhetskrav måste formuleras tydligt i kontrakt, med mätbara krav och sanktioner vid bristande efterlevnad.

Så säkrar vi framtiden

I slutändan finns det ingen enkel eller felfri metod för att undvika cyberhot. Det är ingen idé att blunda för verkligheten – intrång kommer tyvärr att fortsätta ske. Det viktiga blir därför att organisationer vet hur de bättre kan skydda sig och minimera skador genom öppenhet och ökad informationsdelning mellan organisationer.

Säkerhetsteam måste gå från att skydda en yttre gräns till att säkra ett sammanlänkat ekosystem, en grundläggande förändring som också är betydligt mer komplex. Budskapet till tekniska ledare är tydligt: säkerhetsstrategier måste sträcka sig bortom den egna organisationen för att vara relevanta i dagens hotlandskap.

David Åkerman är Senior Incident Response & Digital Forensics Consultant på Verizon Business Nordics