Säkra leveranskedjor för IT-system

Författare:

  • Daniel Eidenskog
  • Caroline Bildsten
  • Bodo Endres

Publiceringsdatum: 2019-12-19

Rapportnummer: FOI-R--4851--SE

Sidor: 58

Skriven på: Svenska

Forskningsområde:

  • Informationssäkerhet

Nyckelord:

  • Cyberleveranskedja
  • leveranskedja
  • leverantörskedja
  • resiliens
  • riskhantering
  • komplexitet

Sammanfattning

Denna studie undersöker vad cyberleveranskedjor är och vilka hotbilder som finns mot dessa. Syftet med studien är att förmedla kunskap gällande de risker som kan uppstå i cyberleveranskedjor och vad som går att göra för att motverka dessa risker. Kunskapen är avsedd att underlätta diskussioner kring cyberleveranskedjor och de risker som de medför för IT-system i Försvarsmakten. Rapporten riktar sig huvudsakligen till personer som arbetar med anskaffning, utveckling och förvaltning av Försvarsmaktens IT-system. Inom studien genomfördes två fallstudier för att belysa komplexiteten i cyberleveranskedjor för både hårdvara och mjukvara. Fallstudiernas resultat visar att många olika aktörer är inblandade i cyberleveranskedjorna och att de är globala i sin omfattning. Studien visar att det inte finns någon enkel lösning för att säkra upp cyberleveranskedjor. I stället krävs en gedigen riskhantering som tar hänsyn till hela kedjan. Målet med riskhanteringen är att få en resiliens mot antagonistiska hot i cyberleveranskedjan. Studien presenterar femton viktiga principer med konkreta handlingspunkter som är sammanställda från publikationer av Nist, Enisa, Mitre och Safecode. Principerna utgör ingen fullständig lista över vad som behöver utföras, men ger en utgångspunkt med några aktiviteter som är särskilt viktiga att beakta.