Definer en cybersikkerhetsstrategi: Forankre strategien i ledelsen og integrer den i virksomhetens risikostyring.
Etabler retningslinjer for IT-drift: Utform klare regler for atferd, organisering, prosesser og teknologi.
Bruk målbare KPI-er: Overvåk fremdrift med relevante nøkkeltall for cybersikkerhet.
Implementer Business Continuity Management (BCM): Planlegg for hvordan virksomheten skal overleve IT-nedetid – uansett årsak.
Tren på det uventede: Gjennomfør jevnlige simuleringsøvelser på tvers av hele organisasjonen.
Bygg opp bevissthet blant ansatte: Gjør opplæring i phishing og sosial manipulering til en obligatorisk rutine.
Tenk utover egne grenser: Inkluder hele verdikjeden i cybersikkerhetsarbeidet.
Samarbeid med leverandører: Del kunnskap og etabler felles sikkerhetsprosedyrer.
Lag nødprosedyrer på tvers av selskap: Definer hvordan dere håndterer angrep i kjeden – og tren på det.
Moderniser IT-infrastrukturen: Strømlinjeform gamle systemer og bygg for Zero Trust.
Sørg for effektiv identitets- og tilgangsstyring (IAM): Ha full kontroll på hvem som har tilgang til hva – og når.
Beskytt privilegerte brukere (PAM):
Sikre brukere med utvidede rettigheter, som ledere og administratorer.
Kilde: "12 key steps to becoming a supply chain cybersecurity leader" av BVL og Secida AG
BVL
Bundesvereinigung Logistik er "Logistikkforeningen i Tyskland", en non-profitt organisasjon som ble grunnlagt i 1978 som fungerer som et åpent nettverk for personer som er aktivt engasjert i effektivt samarbeid i den globaliserte økonomien.
Organisasjonen har 11000 fagfolk og ledere fra industri, handel, tjenester og akademia som medlemmer.
Hovedmål er å formidle betydningen av forsyningskjedeledelse og logistikk, samt å fremme anvendelse og utvikling av logistikkfaget.
Selskapet har internasjonale forgreninger.
Secida AG
Et anerkjent tysk konsulentselskap grunnlagt i 2019, med hovedkontor i Essen.
Selskapet spesialiserer seg på cybersikkerhet, IT-transformasjon og digitalisering, med fokus på identitets- og tilgangsstyring (IAM), privilegert tilgangsstyring (PAM) og hybride IT-infrastrukturer.
Selskapet er blant annet kjent for sin ekspertise innen design og implementering av sikre digitale løsninger, spesielt for kritisk infrastruktur og produksjonsmiljøer.
Hvordan bygger man digital motstandskraft i en tid der én klikkfeil hos en stakkars ansatt kan velte hele verdikjeden?
Sonna Barry, VP i det tyske cybersikkerhetsselskapet Secida AG, var krystallklar i sitt foredrag under Transport Logistic 2025 i München:
– Det handler ikke lenger om hvorvidt virksomheter blir angrepet, men hvor godt de er rustet til å håndtere det når det skjer, sa hun under sesjonen "Cybersecurity in Logistics".
Bak seg hadde hun en studie gjennomført av Secida og Bundesvereinigung Logistik (BVL), der over 150 tyske logistikksjefer deltok. Målet med undersøkelsen var å identifisere identifisere hva selskaper som lykkes med cybersikkerhet har til felles - rett og slett hvilke ingredienser som inngår i vinneroppskriften.
Mindre rammet, raskere tilbake
Undersøkelsen identifiserte en undergruppe som utmerket seg: selskaper som ble sjeldnere hacket – og som raskere gjenopprettet drift etter et angrep.
– Vi kalte dem «Supply Chain Cybersecurity Leaders», forklarte Barry.
Felles for disse lederne var at de hadde implementert tolv tydelige tiltak (se faktaboks). Tiltakene spenner fra strategisk ledelsesforankring og KPI-er, til praktiske grep som bevisstgjøring, øvelser og samarbeid med de andre aktørene i verdikjeden.
Ifølge Barry handler det ikke nødvendigvis om teknologisk avanserte løsninger – men om konsekvent gjennomføring:
– Flere av grepene er enkle å innføre, men likevel svært effektive. Problemet er at mange undervurderer kompleksiteten eller skyver det foran seg, sa hun.
Fra kontor til krise
Ett av grepene handler om å behandle cyberberedskap som man behandler brannøvelser:
– Alle vet hvor de skal når brannalarmen går. Hvorfor skulle det være annerledes ved et cyberangrep? spurte Barry.
Hun poengterte at beredskap ikke er forbeholdt IT-avdelingen. Salg, HR og operasjon må vite hva de gjør hvis systemene svikter. Har HR for eksempel en fysisk liste over kontaktdata dersom IT-systemene ligger nede?
Verdikjeden som angrepsflate
Særlig innen logistikk er eksterne forbindelser en sårbarhet. Barry løftet frem en konkret hendelse:
– En kunde mottok et Excel-ark fra en kjent leverandør – helt rutinemessig. Det viste seg at leverandøren var blitt kompromittert, og filen inneholdt skadevare.
Manglende varsling og rutiner for samarbeid på tvers i verdikjeden gjorde skaden mulig. Det er derfor tre av de tolv stegene handler om samarbeid og nødprosedyrer utover egen virksomhet.
Ledelsesforankring gir effekt
Fremfor alt ble én ting løftet frem som kritisk suksessfaktor: at cybersikkerhet er et ledelsesansvar – og ikke bare en IT-kostnad.
– Hos lederne vi studerte var cybersikkerhet integrert i strategien, ikke "limt på" i ettertid. Det var KPI-er på plass, og tydelig forankring i styringsdialogen, sa Barry.
Men dette krever også et skifte i hvordan man måler prestasjon. En typisk utfordring er konflikt mellom mål om lavere IT-kostnader og høyere sikkerhet.
– Skal du styrke sikkerheten, må du ofte øke kostnader. Det må gjenspeiles i hvordan du belønner IT-ledelsen. Ellers vil de aldri få gjennomslag for tiltakene, sa Barry.
