Et supply chain-angreb sker, når kriminelle kompromitterer en betroet tredjepart for at nå det reelle mål. Denne tredjepart kan være en softwareleverandør, en IT-udbyder, en SaaS-platform eller en forretningspartner med adgang til systemer eller data.
For små og mellemstore virksomheder er denne risiko nem at undervurdere. De driver måske ikke en kompleks infrastruktur eller har et stort IT-team, men Deres virksomhed afhænger sandsynligvis af mange eksterne tjenester: erhvervs-e-mail, lønadministration, regnskab, skylagerplads, kundesupport, CRM og betalingssystemer. Enhver forbundet leverandør skaber en potentiel sti ind i Deres miljø.
Vi forklarer, hvad et supply chain-angreb er, hvordan disse angreb sker, hvorfor SMV’er er udsatte, og hvordan De vurderer og reducerer risici i tredjeparts leverandørkæder.
Hvad er et supply chain-angreb?
Hvordan supply chain-angreb sker
Hvorfor SMV’er er mere værdifulde
Virkelige eksempler på supply chain-angreb
Sådan vurderer De Deres tredjepartsrisiko
Hvad Deres virksomhed kan gøre for at reducere eksponeringen
Forbindelsen med legitimationsoplysninger i supply chain-angreb
Integrer tredjepartssikkerhed i den daglige drift
Hvad er et supply chain-angreb?
Et supply chain-angreb er et cyberangreb, der rammer en organisation gennem en betroet ekstern relation. I stedet for at angribe Deres virksomhed direkte kompromitterer kriminelle en leverandør, en softwareopdatering, en tjenesteudbyder, en integration eller en tredjepartskonto og bruger denne adgang til at nå Deres kunder downstream.
En svaghed uden for Deres organisation kan stadig påvirke Deres systemer, data eller drift, hvis leverandøren er forbundet med dem. I praksis kan et cyberangreb på leverandørkæden involvere:
- En softwareleverandør med en kompromitteret opdateringsmekanisme.
- En SaaS-platform, hvorigennem angribere får adgang til kundedata.
- En IT-udbyder, hvis admin-legitimationsoplysninger er blevet stjålet.
- En ekstern konsulents konto, der stadig har adgang, efter et projekt er afsluttet.
- En tredjepartsintegration med flere tilladelser, end den har brug for.
- En leverandørmedarbejders konto, der bruges til at få adgang til klientsystemer.
Supply chain-angreb bygger på og udnytter tillid. Deres virksomhed tillader forbindelsen, fordi leverandøren havde en legitim rolle, og derefter misbruger angribere denne tillid til at komme tættere på Deres data, konti eller systemer.
Hvordan supply chain-angreb sker
Supply chain-angreb begynder normalt med en betroet forbindelse. En angriber behøver ikke at bryde direkte ind i Deres virksomhed, hvis en leverandør, softwareudbyder, ekstern konsulent eller integration allerede har adgang til noget værdifuldt.
Stien kan variere, men mønsteret er ofte det samme:
- Kompromittere tredjeparten
- Brug denne betroede relation til at nå kunder eller forbundne systemer
- Udvid adgangen til Deres virksomhedsnetværk
Gennem kompromitterede leverandørkonti
Angribere kan stjæle eller gætte legitimationsoplysninger fra en leverandør, ekstern konsulent, et bureau eller en administreret serviceudbyder. Hvis denne tredjepart har adgang til Deres systemer, kan angriberen bruge en legitim konto til at trænge ind via en betroet rute.
Dette er især risikabelt, når leverandørkonti har brede tilladelser, svage adgangskoder, ingen flerfaktorgodkendelse, eller adgang, der aldrig blev fjernet, efter et projekt sluttede. Det er grunden til, at tredjepartsadgang bør gennemgås regelmæssigt og tilbagekaldes hurtigt via en kontrolleret admin-proces, når der ikke længere er brug for den.
Gennem softwareopdateringer og applikationer
Et software-supply chain-angreb kan ske, når angribere kompromitterer den måde, en applikation er bygget, distribueret eller opdateret på. Deres virksomhed kan derefter installere eller opdatere software fra en betroet leverandør uden at vide, at opdateringen er blevet manipuleret med.
Denne type angreb er svær at opdage, fordi aktiviteten ser ud til at komme fra en kendt softwareudbyder og ikke fra en ukendt kilde.
Gennem tredjepartsintegrationer
Mange Software as a Service-værktøjer (SaaS) forbindes med hinanden via integrationer, plugins, API’er og tilladelser. Disse forbindelser hjælper teams med at arbejde hurtigere, men de kan også skabe skjulte adgangsstier.
Hvis en integration kompromitteres eller har flere tilladelser, end den har brug for, kan angribere muligvis få adgang til data, konti eller arbejdsgange ud over det oprindelige værktøj.
Gennem delte legitimationsoplysninger og uadministreret adgang
Supply chain-risikoen øges også, når leverandøradgang afhænger af delte logins, adgangskoder gemt i dokumenter eller legitimationsoplysninger sendt via chat og e-mail. Hvis en af disse legitimationsoplysninger afsløres, ved Deres virksomhed muligvis ikke, hvem der brugte den, hvor den blev delt, eller hvor mange systemer den stadig kan få adgang til.
Adgangskontrol is Deres stærkeste mekanisme til at beskytte sikkerheden i Deres supply chain. Jo mere kontrolleret hver leverandørforbindelse er, desto lettere bliver det at begrænse skaden, hvis noget går galt.
Hvorfor SMV’er er mere sårbare
SMV’er antager ofte, at supply chain-angreb er et problem for store virksomheder. I virkeligheden kan mindre virksomheder være lettere at nå via tredjeparter, fordi leverandøradgang ofte er mindre formel, mindre overvåget og sjældnere gennemgås.
Enhver SaaS-tjeneste tilføjer en afhængighed
De fleste mindre virksomheder er i dag afhængige af SaaS-tjenester til det daglige arbejde. De kan hjælpe virksomheder med at arbejde hurtigt og fleksibelt, men det øger også antallet af systemer, der kan indeholde forretningsdata eller oprette forbindelse til forretningskonti.
Et mindre bureau, et konsulentfirma, et advokatfirma eller en startupvirksomhed bruger måske snesevis af eksterne tjenester uden at kalde det en leverandørkæde. Men ud fra et sikkerhedsperspektiv er disse tjenester en del af kæden.
Mindre teams mangler måske processer til gennemgang af leverandører
Store organisationer har ofte indkøbsprocedurer, spørgeskemaer om leverandørrisiko, sikkerhedsgennemgange og juridiske processer. SMV’er forlader sig måske i stedet på uformel tillid og hurtighed.
Siden begyndelsen af 2025 har Protons Data Breach Observatory identificeret 512 databrud, som har afsløret mere end 902 millioner poster. Den form for synlighed er vigtig, fordi mange databrud ikke forbliver isoleret til en enkelt virksomhed, når legitimationsoplysninger, kontaktdetaljer eller forretningsdata først er blevet afsløret.
Dette betyder ikke, at mindre virksomheder har brug for bureaukrati på koncernniveau. Det betyder dog, at de har brug for en praktisk måde at stille grundlæggende spørgsmål på, før de giver adgang, samt at gennemgå adgangen, når arbejdet ændrer sig.
Leverandøradgang er ofte bredere end nødvendigt
Leverandøradgang i en virksomhed udvides normalt af praktiske årsager. Nogle gange har en ekstern konsulent brug for adgang til et delt drev, eller et bureau har brug for adgang til analyseværktøjer eller en annoncekonto. I øjeblikket føles det at give adgang som den hurtigste måde at holde arbejdet i gang på, især for en mindre virksomhed uden mange medarbejdere eller ressourcer.
Risikoen opstår først senere, når disse tilladelser ikke begrænses, gennemgås eller fjernes. En leverandør kan beholde sin adgang, efter et projekt er afsluttet, et delt login kan fortsætte med at cirkulere, eller en integration kan forblive forbundet længe efter, at det oprindelige behov er ophørt.
Eksempler fra den virkelige verden på angreb på leverandørkæden
Seneste data om databrud viser, at tredjepartsrisiko ikke er teoretisk. Under arbejdet med vores Data Breach Observatory opdagede vi adskillige hændelser med forbindelse til eksponering af tredjeparter eller leverandørkæder, hvilket viser, hvordan kunde-, medarbejder- eller virksomhedsdata kan optræde i databrudssæt, selvom den berørte organisation ikke nødvendigvis var det oprindelige punkt for kompromittering.
Amtrak
I april 2026 afslørede Data Breach Observatory en tredjepartshændelse i forbindelse med Amtrak med mere end 7,4 millioner eksponerede poster. De kompromitterede data omfattede navne, fysiske adresser, postnumre, telefonnumre, e-mailadresser og brugernavne.
For virksomheder er dette et tydeligt eksempel på, hvordan en tredjepartshændelse kan eksponere identitets- og kontaktoplysninger i stort omfang, hvilket skaber efterfølgende risici for phishing, identitetstyveri og angreb baseret på legitimationsoplysninger.
Canada Goose
Beklædningsvirksomheden Canada Goose blev ramt af en tredjepartshændelse i februar 2026, hvor mere end 921.000 poster blev eksponeret. De kompromitterede data omfattede navne, fysiske adresser, telefonnumre og e-mailadresser.
Selv uden adgangskoder kan denne type datasæt stadig øge virksomhedens risiko, fordi angribere kan bruge kontaktoplysninger til at gøre svindel, phishing-forsøg og social engineering mere troværdige.
Sådan vurderer De Deres tredjepartsrisiko
De behøver ikke et stort risikoteam eller mange ressourcer for at begynde at vurdere Deres virksomheds risiko. Begynd med en simpel fortegnelse, og fokuser på de leverandører, der betyder mest.
1. Kortlæg Deres leverandører og adgang
Lav en liste over de leverandører, SaaS-tjenester, kontrahenter og partnere, der har adgang til Deres systemer eller data. Noter følgende for hver enkelt:
- Hvilke data de har adgang til.
- Hvilke konti eller integrationer de bruger.
- Om de har admin-tilladelser.
- Om adgangen er individuel eller delt.
- Om der kræves flerfaktor-godkendelse.
- Hvem der internt har ansvaret for relationen.
- Hvornår adgangen sidst blev gennemgået.
Denne fortegnelse er meget lettere at vedligeholde, når leverandøradgang administreres via et kontrolleret system med et tydeligt ejerskab, admin-synlighed og adgang, der kan tilbagekaldes.
2. Ranger leverandører efter risiko
Ikke alle leverandører behøver en detaljeret gennemgang. En lønudbyder, en cloud-lagerplatform, en IT-leverandør, et CRM eller en administreret tjenesteudbyder fortjener mere opmærksomhed end en lavrisikotjeneste uden følsomme data.
Prioriter leverandører, der håndterer kundedata, legitimationsoplysninger, betalinger, medarbejderoplysninger, produktionssystemer eller admin-adgang.
3. Stil sikkerhedsspørgsmål, før De giver adgang
Før De giver adgang, er det nyttigt at tage et skridt tilbage og vurdere, om tredjeparten virkelig er nødvendig, hvilke systemer eller data de har brug for at få adgang til, og om dette adgangsniveau er berettiget. På dette stadie opdager mange organisationer, at de er afhængige af flere leverandører, integrationer og eksterne konti, end de antog.
En let leverandørgennemgang kan stadig være nyttig. Spørg:
- Hvad sker der med vores data, hvis vi stopper samarbejdet?
- Understøtter De 2FA?
- Hvordan beskytter De kundedata?
- Tilbyder De rollebaseret adgangskontrol?
- Tillader De overvågningslogge eller aktivitetsrapporter?
- Har De relevante sikkerhedscertificeringer, eller følger De anerkendte sikkerhedsstandarder?
- Hvordan underretter De kunder om hændelser?
- Hvordan administrerer De medarbejderadgang internt?
- Understøtter De adgang med færrest mulige privilegier?
Hvad Deres virksomhed kan gøre for at reducere eksponeringen
Reduktion af leverandørkæderisiko starter med kontrol. I praksis betyder det, at Deres virksomhed har brug for klare regler for, hvordan leverandører screenes, hvad de kan få adgang til, hvordan deres aktivitet overvåges, og hvad der sker, hvis en tredjepart kompromitteres.
Screen tredjepartsleverandører for sikkerhedspraksis
Før De giver en leverandør adgang til virksomhedssystemer eller følsomme data, skal De kontrollere, om deres sikkerhedspraksis svarer til risikoen. En leverandør, der håndterer kunderegistre, økonomiske data eller admin-adgang, bør opfylde strengere krav end en simpel produktivitets-app.
Søg efter 2FA-understøttelse, rollebaserede tilladelser, overvågningslogge, forpligtelser til hændelsesnotifikation, kontrol med dataopbevaring og klare offboarding-processer.
Anvend princippet om mindste privilegier på tredjepartsadgang
The principle of least privilege reducerer skadesomfanget, hvis en leverandørkonto kompromitteres. Det betyder, at man skal undgå at give admin-tilladelser, når skrivebeskyttet adgang er tilstrækkelig, eller brede delte mapper, når en bestemt mappe er nok.
Brug zero trust-principper for leverandører
Zero trust betyder ikke, at man skal nære mistillid til enhver leverandør. Det betyder, at man ikke skal antage, at en betroet relation bør give ubegrænset adgang.
For leverandøradgang betyder det at verificere identitet, begrænse tilladelser, gennemgå adgang regelmæssigt, kræve 2FA, overvåge aktivitet og behandle enhver forbindelse som noget, der kræver styring.
Overvåg usædvanlige adgangsmønstre
Konti forbundet med leverandører bør overvåges for adfærd, der ikke passer til normal brug. Hold øje med usædvanlige login-placeringer, uventede downloads, nye admin-brugere, tilladelsesændringer, aktivitet uden for arbejdstid, nye integrationer eller adgang til data uden for leverandørens rolle.
Disse signaler beviser ikke altid kompromittering, men de kan hjælpe Deres team med at reagere, før et lille problem bliver til et større databrud.
Forbered Dem på tredjepartskompromittering
Deres plan for hændelseshåndtering bør omfatte leverandørhændelser. Hvis en leverandør rapporterer et databrud, skal Deres virksomhed vide, hvad der skal gøres som det næste. Vi har skrevet om beskyttelse mod databrud for virksomheder, hvilket kan hjælpe Dem med at strukturere Deres virksomheds reaktion på en kompromittering af en tredjepart.
Definer, hvem der kontakter leverandøren, hvem der gennemgår adgangen, hvem der kontrollerer logfiler, hvem der beslutter, om legitimationsoplysninger skal roteres, og hvem der kommunikerer med klienter eller tilsynsmyndigheder, hvis det er nødvendigt.
Anvend unikke legitimationsoplysninger til hver leverandør og hvert tredjepartsværktøj
Unikke legitimationsoplysninger er en af de nemmeste måder at reducere skadesomfanget i forsyningskæden på. Hvis en leverandørportal udsættes for et databrud, og en medarbejder har genbrugt den pågældende adgangskode et andet sted, kan angribere prøve de samme legitimationsoplysninger mod e-mail, SaaS-platforme, finansielle værktøjer eller admin-systemer.
En unik adgangskode pr. leverandør forhindrer denne direkte genbrug. Det gør også hændelseshåndteringen mere overskuelig. Når en leverandør bliver kompromitteret, ved De, hvilke legitimationsoplysninger der kræver opmærksomhed, i stedet for at spekulere på, hvor den samme adgangskode kan have været brugt.
Proton Pass er en adgangskodeadministrator til virksomheder, der kan hjælpe Deres team med at generere stærke, unikke adgangskoder til hver leverandør og tredjepartstjeneste, gemme dem i krypterede bokse, bruge autofyld og dele adgang sikkert. Dette gør hygiejnen omkring legitimationsoplysninger lettere at opretholde på tværs af de mange eksterne tjenester, som moderne virksomheder er afhængige af.
Forbindelsen til legitimationsoplysninger i forsyningskædeangreb
Forsyningskædeangreb begynder ofte med leverandører, men legitimationsoplysninger afgør, hvor vidt konsekvenserne kan sprede sig.
Hvis en ekstern samarbejdspartners konto bliver kompromitteret, men har begrænset adgang, kan skaden muligvis begrænses. Hvis den samme konto har brede tilladelser, delte legitimationsoplysninger, genbrugte adgangskoder eller adgang til følsomme systemer, har angriberen mere plads at bevæge sig på.
Det er grunden til, at administration af adgangskoder og adgang hører under risikostyring for forsyningskæden. For hver leverandør eller tredjepartsværktøj bør Deres virksomhed vide:
- Hvilke legitimationsoplysninger der findes.
- Hvem der har adgang til dem.
- Om adgangskoden er unik.
- Om MFA er aktiveret.
- Om der stadig er brug for adgang.
- Om kontoen er delt eller individuel.
- Hvem der ejer kontoen internt.
En adgangskodeadministrator til virksomheder som Proton Pass hjælper med at gøre disse spørgsmål lettere at besvare. I stedet for at legitimationsoplysninger findes i regneark, browserprofiler, chatbeskeder eller personlige noter, kan leverandøradgangskoder gemmes i et kontrolleret system med sikker deling og et tydeligere ejerskab.
Dette fjerner ikke behovet for at kontrollere leverandører eller overvåge aktivitet. Det styrker en af de mest effektive sikkerhedsforanstaltninger: at sikre, at et tredjepartsdatabrud ikke bliver til et problem med genbrug af adgangskoder i Deres egen virksomhed.
Integrer tredjepartssikkerhed i den daglige drift
Et forsyningskædeangreb forvandler tillid til en sti ind. En leverandør, en softwareopdatering, en SaaS-konto, en ekstern samarbejdspartner eller en integration, der normalt understøtter virksomheden, kan blive den rute, angribere bruger til at få adgang til data eller systemer.
Små virksomheder kan ikke undgå tredjeparter, og det behøver de heller ikke. SaaS-værktøjer, IT-leverandører, eksterne samarbejdspartnere og leverandører er en del af, hvordan moderne virksomheder fungerer. Målet er at administrere disse relationer med tilstrækkelig kontrol til, at én kompromittering ikke bliver til et mere omfattende databrud.
Start med det grundlæggende: Kortlæg Deres leverandører, vurder adgangen, stil sikkerhedsspørgsmål, anvend princippet om mindste privilegier, brug zero trust-principper, overvåg usædvanlig aktivitet, og planlæg for kompromittering af tredjeparter. Reducer derefter risikoen i forbindelse med legitimationsoplysninger ved at give hver leverandør og tredjepartstjeneste sin egen unikke adgangskode.
Proton Pass hjælper virksomheder med at føre denne kontrol ud i den daglige praksis. Når hvert leverandørlogin har sine egne unikke legitimationsoplysninger, forbliver delt adgang inde i krypterede bokse, og teams kan tilbagekalde adgangen i samme øjeblik, et samarbejde ophører, hvorved en enkelt kompromitteret adgangskode har langt mindre sandsynlighed for at udløse en kædereaktion på tværs af Deres virksomhedskonti.






