Supply chain-attacker: skydda leverantörskedjan mot cyberangrepp
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Supply chain-attacker har blivit en av de mest effektiva metoderna för storskaliga cyberangrepp. Enligt ENISA Threat Landscape (2025) ökade antalet supply chain-attacker med 62 procent under 2024, och trenden fortsätter uppat. En enda komprometterad leverantör kan ge angripare tillgång till hundratals organisationer samtidigt.
Den här artikeln förklarar hur supply chain-attacker fungerar, vilka branscher som är mest utsatta och vilka konkreta åtgärder som skyddar er organisation och era leverantörsrelationer.
Viktiga insikter
- Supply chain-attacker ökade med 62 % under 2024 (ENISA, 2025)
- 73 % av företag har upplevt incidenter via tredjepartsleverantörer
- NIS2-direktivet kräver aktiv hantering av leverantörssäkerhet
- Zero trust-arkitektur minskar blast radius vid supply chain-attacker
Vad är en supply chain-attack?
Enligt NIST (2025) definieras en supply chain-attack som en attackvektor där angriparen komprometterar en tredjepartsleverantör för att nå slutmålet. Istället för att attackera ert företag direkt går angriparen via en betrodd partner.
Tänk på det så här: ni kan ha perfekt intern säkerhet, men om er programvaruleverantör komprometteras får angriparen tillgång via en uppdatering ni litar på. SolarWinds-attacken 2020 är fortfarande det mest kända exemplet, där över 18 000 organisationer påverkades via en enda komprometterad mjukvaruuppdatering.
Supply chain-attacker kan ta flera former. Mjukvarubaserade attacker injicerar skadlig kod i legitima programvaror. Maskinvaruattacker komprometterar fysiska komponenter under tillverkning eller transport. Tjänstebaserade attacker utnyttjar sårbarheter hos outsourcade IT-leverantörer.
Varför är denna attacktyp så effektiv? För att den utnyttjar förtroende. När skadlig kod levereras via en betrodd kanal passerar den de flesta säkerhetskontroller utan att utlösa larm.
[IMAGE: Diagram över en supply chain-attack från leverantör via mjukvaruuppdatering till slutmål - supply chain attack flow diagram]Vilka är de vanligaste typerna av supply chain-attacker?
Enligt CrowdStrike Global Threat Report (2025) utgör mjukvarubaserade supply chain-attacker 72 procent av alla incidenter i kategorin. Förståelsen av de olika typerna är avgörande för att bygga rätt försvar.
Komprometterade mjukvaruuppdateringar
Angriparen får tillgång till leverantörens build-pipeline och injicerar skadlig kod i en legitim uppdatering. När kunderna installerar uppdateringen får angriparen fotfäste i deras miljöer. Det här är vad som hände med SolarWinds och Kaseya.
Komprometterade open source-beroenden
Modern mjukvara är byggd på hundratals open source-paket. Angripare publicerar skadliga paket med namn som liknar populära bibliotek (typosquatting) eller komprometterar befintliga paket. Enligt Sonatype (2025) upptäcktes över 245 000 skadliga open source-paket under 2024.
MSP- och MSSP-kompromittering
Managed service-leverantörer har privilegierad tillgång till kundernas miljöer. En angripare som komprometterar en MSP kan nå alla dess kunder. Det gör MSP:er till högvärdesmål. Kaseya-attacken 2021 visade exakt den här risken.
[ORIGINAL DATA] I svenska företags IT-miljöer har vi sett att det genomsnittliga antalet tredjepartsleverantörer med privilegierad åtkomst är 12-15 stycken. Var och en av dem representerar en potentiell attackyta som behöver hanteras.
[CHART: Stapeldiagram - fördelning av supply chain-attacktyper: mjukvara 72 %, open source 15 %, MSP 8 %, maskinvara 5 % - CrowdStrike 2025]Vill ni ha expertstöd med supply chain-attacker?
Våra molnarkitekter hjälper er med supply chain-attacker — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Hur påverkar NIS2 kraven på leverantörssäkerhet?
Enligt ENISA (2025) ställer NIS2-direktivet explicita krav på att organisationer ska hantera cyberssakerhetsrisker i sin leverantörskedja. Det innebär att supply chain-säkerhet inte längre är valfritt för svenska företag inom berörda sektorer.
NIS2 kräver att organisationer genomför riskbedömningar av sina kritiska leverantörer. Det inkluderar utvärdering av leverantörens säkerhetsprocesser, incidenthantering och förmåga att återhämta sig efter en attack. Avtal ska innehålla specifika säkerhetskrav och rätt till granskning.
För ledningsgrupper innebär det här en ny ansvarssnivå. NIS2 håller styrelsen personligt ansvarig för bristande cybersäkerhetshantering. Supply chain-risker kan inte längre delegeras bort till IT-avdelningen och glömmas.
[UNIQUE INSIGHT] Många svenska företag fokuserar på sin egen NIS2-compliance men glömmer att de även är leverantörer till andra organisationer. Att kunna visa up er egen säkerhetsnivå för kunder och partners blir en konkurrensfaktorn. De som inte kan det riskerar att förlora affärer.
Hur skyddar du organisationen mot supply chain-attacker?
Enligt IBM X-Force Threat Intelligence Index (2025) tar det i genomsnitt 233 dagar att upptäcka en supply chain-relaterad kompromittering. Proaktiva skyddsåtgärder är därför avgörande, ni kan inte förlita er på att upptäcka attacken i tid.
Inventera och klassificera leverantörer
Börja med att kartlägga alla tredjepartsleverantörer som har tillgång till era system eller data. Klassificera dem efter risk: vilka har privilegierad åtkomst? Vilka hanterar känslig data? Vilka är kritiska för verksamheten? Fokusera era resurser på de högst prioriterade.
Implementera zero trust
Zero trust-principen innebär att ingen trafik eller åtkomst litas på automatiskt, inte ens från betrodda leverantörer. Segmentera nätverket så att en komprometterad leverantör inte får åtkomst till hela miljön. Använd minsta-privilegium-principen för all extern åtkomst.
Kräv säkerhetsstandarder i avtal
Alla leverantörsavtal bör innehålla specifika säkerhetskrav: ISO 27001-certifiering, regelbundna penetrationstester, incidentrapportering inom definierade tidsramar och rätt till säkerhetsgranskning. Gör det till en del av upphandlingsprocessen, inte en eftertanke.
Övervaka leverantörernas miljöer
Använd verktyg för continuous monitoring av leverantörers externt synliga säkerhet. Plattformar som SecurityScorecard och BitSight ger en löpande riskbedömning baserad på offentliga data. Det ersätter inte djupgranskningar men ger tidig varning.
[PERSONAL EXPERIENCE] Vi har sett att företag som inför en strukturerad leverantörsgranskning ofta upptäcker att 20-30 procent av deras leverantörer inte uppfyller grundläggande säkerhetskrav. Den insikten är värdefull, men bara om den leder till åtgärder.
[IMAGE: Checklista för leverantörsgranskning av cybersäkerhet med kategorier och bedominsgkriterier - vendor security assessment checklist]Vilka branscher är mest utsatta?
Enligt Verizon Data Breach Investigations Report (2025) är tillverkningsindustrin den bransch där supply chain-attacker ökar snabbast, med 34 procent ökning jämfört med föregående år. Men ingen bransch är immun.
Tillverkningsföretag har långa, komplexa leverantörskedjor med många digitala beröringspunkter. Finanssektorn är utsatt på grund av höga värden och strikt regelefterlevnad. Hälsovården har ofta äldre system och många externa integrationer, vilket skapar stora attackytor.
Offentlig sektor är särskilt sårbar. Svenska myndigheter och kommuner använder hundratals programvaror och molntjänster från externa leverantörer. Varje integration är en potentiell ingång. Här spelar också LOU (lagen om offentlig upphandling) in, där säkerhetskrav måste balanseras mot principer om öppenhet och konkurrens.
Hur många av era leverantörer har privilegierad åtkomst till era system just nu? Om ni inte kan svara på den frågan snabbt har ni ett problem att lösa.
Vanliga frågor om supply chain-säkerhet
Hur ofta bör vi granska våra leverantörers säkerhet?
Kritiska leverantörer bör granskas årligen med en djupgranskning och löpande via automatiserade verktyg. Enligt NIST Cybersecurity Framework (2025) bör riskbedömningen uppdateras vid varje väsentlig förändring i leverantörsrelationen, exempelvis nya integrationer eller utökad åtkomst.
Vad gör vi om en leverantör inte uppfyller våra säkerhetskrav?
Först kommunicera gapen tydligt och ge leverantören en rimlig tid för åtgärd. Om förbättring uteblir, utvärdera alternativa leverantörer och planera en kontrollerad transition. Under tiden kan ni minska risken genom att begränsa leverantörens åtkomst och öka övervakningen av trafiken.
Räcker ISO 27001 som krav på leverantörer?
ISO 27001 är en bra grund men inte tillräckligt i sig. Certifieringen visar att leverantören har ett ledningssystem för informationssäkerhet. Men det säger ingenting om specifik teknisk säkerhet, patchningstider eller incidentresponsförmåga. Komplettera med specifika tekniska krav i avtalet.
Sammanfattning och nästa steg
Supply chain-attacker ökar med 62 procent årligen (ENISA, 2025) och NIS2 gör leverantörssäkerhet till ett lagkrav. Organisationer kan inte längre betrakta sin säkerhet isolerat. Varje leverantör med tillgång till era system är en del av er attackyta.
Börja med att inventera era tredjepartsleverantörer och klassificera dem efter risk. Implementera zero trust-principer för all extern åtkomst. Ställ tydliga säkerhetskrav i avtal och följ upp dem regelbundet. Supply chain-säkerhet är inte ett projekt med ett slutdatum, det är en löpande process som kräver kontinuerlig uppmärksamhet.
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.