Når virksomheder vælger leverandører, handler det grundlæggende om stabil drift.
Pris, leveringstid og kvalitet er naturlige kriterier. Men i takt med at forretninger er blevet mere digitalt sammenvævede, er leverandørers IT-praksis også blevet en del af den samlede forretningsrisiko.
Det gælder uanset branche.
Hvis en kritisk leverandør mister adgang til systemer, data eller drift – midlertidigt eller permanent – kan det få direkte konsekvenser for dine egne leverancer, aftaler og kunder.
Denne tjekliste er derfor ikke tænkt som en alarmklokke, men som et praktisk værktøj til at vurdere, om en leverandør arbejder med samme grundlæggende forståelse for kontinuitet, ansvar og modenhed, som du forventer i din egen virksomhed.
Spørgsmålene kræver ikke avanceret teknisk indsigt.
De kræver blot klare og ærlige svar.
1️⃣ Har I backup – og er den testet?
Ikke:
“Ja, vi tager backup.”
Men:
- Hvor ofte?
- Af hvad?
- Hvornår blev den sidst testet?
- Kan I dokumentere en gendannelse?
Backup, der aldrig er testet, er et håb – ikke en løsning.
2️⃣ Hvor hurtigt kan I gendanne drift efter et angreb?
Spørg konkret:
- Hvad er jeres RTO (Recovery Time Objective)?
- Timer? Dage? Uger?
- Gælder det hele systemet eller kun dele?
Hvis svaret er uklart, findes der sandsynligvis ingen plan.
3️⃣ Er kundedata krypteret – både i drift og i backup?
Spørg:
- Er data krypteret på disk?
- Er backup-kopier også krypteret?
- Hvem har nøglerne?
Ukrypterede backups er et af de mest oversete – og farligste – problemer.
4️⃣ Har I en dokumenteret hændelses- og beredskabsplan?
Ikke:
“Vi ved godt, hvad vi gør.”
Men:
- Er planen dokumenteret?
- Hvem gør hvad?
- Hvornår informeres kunder?
- Hvornår inddrages myndigheder?
Hvis planen kun findes “i hovedet”, findes den ikke.
5️⃣ Har I overblik over, hvem der har adgang til vores data?
Spørg:
- Hvor mange medarbejdere har adgang?
- Er adgange rollebaserede?
- Logges adgangen?
- Kan adgange hurtigt lukkes?
For mange angreb starter indefra – bevidst eller ubevidst.
6️⃣ Har I styr på jeres egne underleverandører?
Det her spørgsmål stopper ofte samtalen – og det er netop pointen.
Spørg:
- Hvilke underleverandører er kritiske?
- Hvor håndteres data videre?
- Gælder samme sikkerhedskrav for dem?
Hvis de ikke har styr på kæden, er kæden svag.
7️⃣ Kan I dokumentere jeres sikkerhedsniveau?
Ikke nødvendigvis certificeringer – men:
- risikovurderinger
- procedurer
- audits
- logning
- test af beredskab
Manglende dokumentation er et problem i sig selv – især ift. NIS2 og GDPR.
8️⃣ Hvordan opdager I datatyveri – ikke kun nedbrud?
Spørg:
- Overvåger I udgående datatrafik?
- Kan I opdage langsom, skjult dataeksfiltration?
- Hvordan reagerer I, hvis data er kopieret men ikke krypteret?
Mange moderne angreb låser ikke systemer.
De stjæler data.
9️⃣ Hvad sker der, hvis I bliver ramt – hvem kontakter I?
Spørg:
- Hvornår får vi besked?
- Hvad får vi at vide?
- Er der én fast kontaktperson?
- Er der skabeloner for kundekommunikation?
Tavshed og forsinkelse gør næsten altid skaden større.
🔟 Kan I ærligt sige, at I er klar – i morgen?
Det sidste spørgsmål er det vigtigste.
Ikke:
“Vi har aldrig været ramt.”
Men:
“Hvis det sker i morgen, ved vi præcis, hvad vi gør.”
Hvis svaret kræver for mange forbehold, er risikoen reel.
Hvorfor denne tjekliste betyder mere end pris og leveringstid
Leverandører uden:
- backup
- kryptering
- beredskab
- dokumentation
… kan fungere fint – lige indtil den dag, de ikke gør.
Og når det sker, rammer det sjældent kun dem selv.
Afsluttende refleksion
Cyberangreb er ikke længere et spørgsmål om hvis, men hvornår.
Spørgsmålet er derfor:
Har dine leverandører gjort det nemt – eller svært – at komme videre efter et angreb?
Hvis du ikke kender svaret, er det værd at spørge.
Skriv et svar
Du skal være logget ind for at skrive en kommentar.