En leveranskedjeattack sker när brottslingar avslöjar en betrodd tredje part för att nå det verkliga målet. Denna tredje part kan vara en mjukvaruleverantör, IT-leverantör, SaaS-plattform eller affärspartner som kan få åtkomst till system eller data.

För små och medelstora företag är det lätt att underskatta denna risk. Du kanske inte driver en komplex infrastruktur eller har ett stort IT-team, masn ditt företag är troligtvis beroende av många externa tjänster: e-post för företag, lönehantering, bokföring, lagringsutrymme i molnet, kundsupport, CRM och betalningssystem. Varje ansluten leverantör skapar en potentiell sökväg in i din miljö.

Vi förklarar vad en leveranskedjeattack är, hur dessa attacker sker, varför små och medelstora företag är utsatta och hur du bedömer och minskar risker i leveranskedjan från tredje part.

Vad är en leveranskedjeattack?

Hur leveranskedjeattacker sker

Varför små och medelstora företag är mer värdefulla

Verkliga exempel på leveranskedjeattacker

Hur du bedömer dina risker från tredje part

Vad ditt företag kan göra för att minska exponeringen

Inloggningsuppgifternas anslutning i leveranskedjeattacker

Integrera säkerhet för tredje part i den dagliga verksamheten

Vad är en leverantörskedjeattack?

En leveranskedjeattack är en cyberattack som når en organisation via en betrodd extern relation. Istället för att attackera ditt företag direkt avslöjar brottslingar en leverantör, en mjukvaruuppdatering, en tjänsteleverantör, en integration eller ett konto hos en tredje part och använder detta för att få åtkomst till och nå dina kunder i senare led.

En svaghet utanför din organisation kan fortfarande påverka dina system, dina data eller din verksamhet om leverantören är ansluten till dem. I praktiken kan en cyberattack mot en leveranskedja omfatta:

  • En mjukvaruleverantör med en avslöjad uppdateringsmekanism.
  • En SaaS-plattform genom vilken angripare kan få åtkomst till kunddata.
  • En IT-leverantör vars inloggningsuppgifter för admin har stulits.
  • Ett konto för en underleverantör som fortfarande kan få åtkomst efter att ett projekt avslutats.
  • En integration med en tredje part som har fler behörigheter än vad som krävs.
  • En leverantörsanställds konto som används för att få åtkomst till kundsystem.

Leveranskedjeattacker bygger på och utnyttjar förtroende. Ditt företag tillåter anslutningen eftersom leverantören hade en legitim roll, och sedan missbrukar angripare detta förtroende för att komma närmare dina data, konton eller system.

Hur leveranskedjeattacker sker

Leveranskedjeattacker börjar vanligtvis med en betrodd anslutning. En angripare behöver inte göra ett direkt intrång i ditt företag om en leverantör, mjukvaruleverantör, underleverantör eller integration redan kan få åtkomst till något värdefullt.

Sökvägen kan variera, men mönstret är ofta detsamma:

  • Avslöja tredje part
  • Använda den betrodda relationen för att nå kunder eller anslutna system
  • Utöka möjligheten att få åtkomst till ditt företagsnätverk

Genom avslöjade leverantörskonton

Angripare kan stjäla eller gissa inloggningsuppgifter från en leverantör, underleverantör, byrå eller leverantör av hanterade tjänster. Om denna tredje part kan få åtkomst till dina system kan angriparen använda ett legitimt konto för att ta sig in via en betrodd väg.

Detta är särskilt riskabelt när leverantörskonton har omfattande behörigheter, svaga lösenord, ingen flerfaktorsautentisering eller behörighet att få åtkomst till som aldrig togs bort efter att ett projekt avslutades. Det är därför behörighet för tredje part att få åtkomst till bör granskas regelbundet och återkallas omedelbart genom en kontrollerad adminprocess när den inte längre behövs.

Genom mjukvaruuppdateringar och applikationer

En attack mot mjukvarans leveranskedja kan ske när angripare avslöjar hur en applikation byggs, distribueras eller uppdateras. Ditt företag kan då installera eller uppdatera mjukvara från en betrodd leverantör, utan att inse att uppdateringen har manipulerats.

Denna typ av attack är svår att upptäcka eftersom aktiviteten verkar komma från en känd mjukvaruleverantör, inte från en okänd källa.

Genom integrationer med tredje part

Många SaaS-verktyg (software as a service) ansluter till varandra genom integrationer, insticksprogram, API:er och behörigheter. Dessa anslutningar hjälper team att arbeta snabbare, men de kan också skapa dolda sökvägar för att få åtkomst till.

Om en integration avslöjas eller har fler behörigheter än den behöver kan angripare få möjlighet att nå data, konton eller arbetsflöden bortom det ursprungliga verktyget.

Genom delade inloggningsuppgifter och ohanterad möjlighet att få åtkomst till

Risken i leveranskedjan ökar också när leverantörers möjlighet att få åtkomst till beror på delade inloggningar, lösenord lagrade i dokument eller inloggningsuppgifter som skickas via chatt och e-post. Om en av dessa inloggningsuppgifter exponeras kanske ditt företag inte vet vem som använde den, var den delades eller hur många system den fortfarande kan få åtkomst till.

Kontroll över att få åtkomst till är din starkaste mekanism för att skydda säkerheten i din leveranskedja. Ju mer kontrollerad varje leverantörsanslutning är, desto lättare blir det att begränsa skadan om något går fel.

Varför små och medelstora företag är mer sårbara

Små och medelstora företag antar ofta att leveranskedjeattacker är ett problem för storföretag. I verkligheten kan mindre företag vara lättare att nå via tredje part eftersom leverantörers möjlighet att få åtkomst till ofta är mindre formell, mindre övervakad och mer sällan granskad.

Varje SaaS-tjänst lägger till ett beroende

De flesta små företag är nu beroende av SaaS-tjänster för det dagliga arbetet. De kan hjälpa företag att agera snabbt och flexibelt, men det ökar också antalet system som kan innehålla företagsdata eller ansluta till företagskonton.

En liten byrå, konsultfirma, advokatbyrå eller startup kan använda dussintals externa tjänster utan att kalla det en leveranskedja. Men ur ett säkerhetsperspektiv är dessa tjänster en del av kedjan.

Mindre team kan sakna processer för leverantörsgranskning

Stora organisationer har ofta upphandlingar, frågeformulär om leverantörsrisker, säkerhetsgranskningar och juridiska processer. Små och medelstora företag kan istället förlita sig på informellt förtroende och snabbhet.

Sedan början av 2025 har Protons Data Breach Observatory identifierat 512 intrång som exponerat mer än 902 miljoner poster. Den typen av synlighet är viktig eftersom många intrång inte förblir isolerade till ett enda företag när väl inloggningsuppgifter, kontaktuppgifter eller företagsdata har exponerats.

Det betyder inte att små företag behöver storföretagsbyråkrati. Det betyder dock att de behöver ett praktiskt sätt att ställa grundläggande frågor innan de beviljar möjlighet att få åtkomst till, och att granska denna möjlighet att få åtkomst till när arbetet förändras.

Leverantörers möjlighet att få åtkomst till är ofta mer omfattande än nödvändigt

Leverantörers möjlighet att få åtkomst till inom ett företag utökas vanligtvis av praktiska skäl. Ibland behöver en underleverantör få åtkomst till en delad drive, eller så behöver en byrå få åtkomst till analysverktyg eller annonskonton. Just då känns det som det snabbaste sättet att hålla arbetet igång att bevilja möjlighet att få åtkomst till, särskilt för ett litet företag med begränsade resurser eller personal.

Risken uppstår först senare, när dessa behörigheter inte begränsas, granskas eller tas bort. En leverantör kan behålla sin åtkomst efter att ett projekt har avslutats, en delad inloggning kan fortsätta att cirkulera eller en integrering kan förbli ansluten långt efter att det ursprungliga behovet har upphört.

Verkliga exempel på leveranskedjeattacker

Färska data om dataintrång visar att risker med tredje part inte är teoretiska. Under arbetet med vår Data Breach Observatory upptäckte vi flera incidenter kopplade till exponering av tredje part eller leveranskedjor. Detta visar hur kund-, medarbetar- eller affärsdata kan dyka upp i datamängder från intrång, även om den drabbade organisationen inte nödvändigtvis var den ursprungliga källan som avslöjades.

Amtrak

I april 2026 avslöjade Data Breach Observatory en incident hos en tredje part kopplad till Amtrak, med mer än 7,4 miljoner exponerade poster. De avslöjade uppgifterna inkluderade namn, fysiska adresser, postnummer, telefonnummer, e-postadresser och användarnamn.

För företag är detta ett klart exempel på hur en incident hos en tredje part kan exponera identitets- och kontaktuppgifter i stor skala, vilket skapar följdrisker för nätfiske, identitetsstöld och attacker baserade på inloggningsuppgifter.

Canada Goose

Klädföretaget Canada Goose drabbades av en incident hos en tredje part i februari 2026, med mer än 921 000 exponerade poster. De avslöjade uppgifterna inkluderade namn, fysiska adresser, telefonnummer och e-postadresser.

Även utan lösenord kan den här typen av datamängder öka risken för företag, eftersom angripare kan använda kontaktuppgifter för att göra bedrägerier, nätfiske och social manipulation mer trovärdiga.

Så bedömer du risker med tredje part

Du behöver inte ett stort riskteam eller mycket resurser för att börja bedöma ditt företags risker. Börja med en enkel inventering och fokusera på de leverantörer som är viktigast.

1. Kartlägg dina leverantörer och deras åtkomst

Lista leverantörer, SaaS-tjänster, entreprenörer och partner med åtkomst till dina system eller data. Anteckna följande för var och en:

  • Vilka data de har åtkomst till.
  • Vilka konton eller integreringar de använder.
  • Om de har adminbehörigheter.
  • Om åtkomsten är individuell eller delad.
  • Om flerfaktorsautentisering krävs.
  • Vem som äger relationen internt.
  • När åtkomsten senast granskades.

Denna inventering är mycket lättare ått underhålla när leverantörers åtkomst hanteras genom ett kontrollerat system med tydligt ägarskap, adminsynlighet och återkallningsbar åtkomst.

2. Rangordna leverantörer efter risk

Alla leverantörer behöver inte en detaljerad granskning. En löneleverantör, en molnbaserad lagringsplattform, en IT-leverantör, ett CRM-system eller en leverantör av hanterade tjänster förtjänar mer granskning än en lågrisktjänst utan känsliga data.

Prioritera leverantörer som hanterar kunddata, inloggningsuppgifter, betalningar, medarbetarinformation, produktionssystem eller adminåtkomst.

3. Ställ säkerhetsfrågor innan du beviljar åtkomst

Innan du beviljar åtkomst är det bra att ta ett steg tillbaka och bedöma om tredje parten verkligen är nödvändig, vilka system eller data de behöver få åtkomst till, och om den åtkomstnivån är berättigad. I det här skedet upptäcker många organisationer att de förlitar sig på fler leverantörer, integreringar och externa konton än de trodde.

En enkel leverantörsutvärdering kan ändå vara användbar. Fråga:

  • Vad händer med våra data om vi lämnar tjänsten?
  • Stöder ni 2FA?
  • Hur skyddar ni kunddata?
  • Erbjuder ni rollbaserad åtkomstkontroll?
  • Tillåter ni granskningsloggar eller aktivitetsrapporter?
  • Har ni några relevanta säkerhetscertifieringar eller följer ni erkända säkerhetsstandarder?
  • Hur informerar ni kunder om incidenter?
  • Hur hanterar ni anställdas åtkomst internt?
  • Stöder ni principen om minsta möjliga behörighet för åtkomst?

Vad ditt företag kan göra för att minska exponeringen

Att minska riskerna i leveranskedjan börjar med kontroll. I praktiken innebär det att ditt företag behöver tydliga regler för hur leverantörer utvärderas, vad de får åtkomst till, hur deras aktivitet övervakas och vad som händer om en tredje part avslöjas.

Utvärdera säkerhetsrutinerna hos leverantörer från tredje part

Innan du ger en leverantör åtkomst till affärssystem eller känsliga data bör du kontrollera om deras säkerhetsrutiner matchar risken. En leverantör som hanterar kundregister, finansiell data eller adminåtkomst bör uppfylla högre krav än en enkel produktivitetsapp.

Leta efter stöd för 2FA, rollbaserade behörigheter, granskningsloggar, åtaganden om incidentaviseringar, kontroller för datalagring och tydliga processer för avveckling.

Tillämpa principen om minsta möjliga behörighet för åtkomst för tredje part

The principen om minsta möjliga behörighet minskar skadeomfånget om ett leverantörskonto avslöjas. Det innebär att man undviker att ge adminbehörigheter när läsbehörighet räcker, eller breda delade mappar när en specifik mapp räcker.

Använd nollförtroendeprinciper för leverantörer

Nollförtroende innebär inte att man misstror varje leverantör. Det innebär att man inte förutsätter att en betrodd relation ska skapa obegränsad åtkomst.

För leverantörsåtkomst innebär detta att verifiera identitet, begränsa behörigheter, granska åtkomst regelbundet, kräva 2FA, övervaka aktivitet och behandla varje anslutning som något som kräver styrning.

Övervaka ovanliga åtkomstmönster

Leverantörsanslutna konton bör övervakas för beteenden som inte stämmer överens med normal användning. Håll utkik efter ovanliga inloggningsplatser, oväntade nedladdningar, nya adminanvändare, behörighetsändringar, aktivitet efter arbetstid, nya integreringar eller åtkomst till data utanför leverantörens roll.

Dessa signaler bevisar inte alltid att något har avslöjats, men de kan hjälpa ditt team att agera innan ett litet problem blir till ett mer omfattande intrång.

Förbered dig på att en tredje part kan avslöjas

Ditt paket för incidenthantering bör inkludera leverantörsincidenter. Om en leverantör rapporterar ett intrång måste ditt företag veta vad som ska göras härnäst. Vi har skrivit om skydd mot dataintrång för företag, vilket kan hjälpa dig att strukturera ditt företags åtgärder om en tredje part avslöjas.

Definiera vem som kontaktar leverantören, vem som granskar vem som får åtkomst till, vem som kontrollerar loggar, vem som beslutar om inloggningsuppgifter ska roteras och vem som kommunicerar med kunder eller tillsynsmyndigheter vid behov.

Använd unika inloggningsuppgifter för varje leverantör och verktyg från tredje part

Unika inloggningsuppgifter är ett av de enklaste sätten att minska skadeverkningarna i leveranskedjan. Om en leverantörsportal drabbas av ett intrång och en anställd har återanvänt det lösenordet på annat håll, kan angripare försöka använda samma inloggningsuppgift mot e-post, SaaS-plattformar, ekonomiverktyg eller adminsystem.

Ett unikt lösenord per leverantör förhindrar direkt återanvändning. Det gör också incidenthanteringen smidigare. När en leverantör avslöjas vet du vilka inloggningsuppgifter som kräver åtgärder, i stället för att behöva undra var samma lösenord kan ha använts.

Proton Pass är en lösenordshanterare för företag som kan hjälpa ditt team att generera starka, unika lösenord för varje leverantör och tjänst från tredje part, lagra dem i krypterade valv, använda autofyll och dela rätten att få åtkomst till på ett säkert sätt. Detta gör det enklare att upprätthålla god hygien för inloggningsuppgifter i de många externa tjänster som moderna företag är beroende av.

Anslutningen för inloggningsuppgifter i leveranskedjeattacker

Leveranskedjeattacker börjar ofta med leverantörer, men inloggningsuppgifter avgör hur långt effekterna kan spridas.

Om en underleverantörs konto avslöjas men har begränsad möjlighet att få åtkomst till, kan skadan begränsas. Om samma konto har omfattande behörigheter, delade inloggningsuppgifter, återanvända lösenord eller möjlighet att få åtkomst till känsliga system, har angripare större rörelseutrymme.

Det är därför hantering av lösenord och att få åtkomst till hör hemma i riskhanteringen för leveranskedjan. För varje leverantör eller verktyg från tredje part bör ditt företag veta:

  • Vilka inloggningsuppgifter som finns.
  • Vem som har rätt att få åtkomst till dem.
  • Om lösenordet är unikt.
  • Om MFA är aktiverat.
  • Om det fortfarande finns ett behov av att få åtkomst till.
  • Om kontot är delat eller individuellt.
  • Vem som äger kontot internt.

En lösenordshanterare för företag som Proton Pass gör det enklare att svara på de frågorna. I stället för att inloggningsuppgifter sparas i kalkylblad, webbläsarprofiler, chattmeddelanden eller personliga anteckningar kan leverantörslösenord lagras i ett kontrollerat system med säker delning och ett tydligare ägarskap.

Det tar inte bort behovet av att granska leverantörer eller övervaka aktivitet. Det stärker en av de mest effektiva kontrollerna: att se till att ett intrång hos en tredje part inte blir ett problem med återanvändning av lösenord i det egna företaget.

Bygg in säkerhet för tredje part i den dagliga verksamheten

En leveranskedjeattack förvandlar förtroende till sökvägen in. En leverantör, en mjukvaruuppdatering, ett SaaS-konto, en underleverantör eller en integration som normalt ger support till verksamheten kan bli den väg angripare använder för att nå data eller system.

Småföretag kan inte undvika tredje part, och det behöver de inte heller göra. SaaS-verktyg, IT-leverantörer, underleverantörer och leverantörer är en del av hur moderna företag fungerar. Målet är att hantera dessa relationer med tillräcklig kontroll så att ett avslöjande inte blir ett mer omfattande intrång.

Börja med grunderna: kartlägg dina leverantörer, bedöm rätten att få åtkomst till, ställ säkerhetsfrågor, tillämpa principen om minsta möjliga behörighet, använd zero trust-principer, övervaka ovanlig aktivitet och ha ett paket för om en tredje part avslöjas. Minska sedan riskerna med inloggningsuppgifter genom att ge varje leverantör och tjänst från tredje part ett eget unikt lösenord.

Proton Pass hjälper företag att omsätta den kontrollen i den dagliga praktiken. När varje leverantörsinloggning har sin egen unika inloggningsuppgift förblir delad rätt att få åtkomst till skyddad inuti krypterade valv, och team kan återkalla rätten att få åtkomst till så fort en relation upphör. På så sätt är det mycket mindre sannolikt att ett enskilt lösenord som drabbats av intrång utlöser en kedjereaktion i dina företagskonton.