Nya siffror från Svenskt Säkerhetsindex 2025 avslöjar att många små och medelstora företag, ryggraden i Södermanlands näringsliv, kämpar med säkerhetsbrister. Fler än hälften, 59 procent, saknar en leverantörshanteringspolicy och 41 procent förlitar sig på externa certifieringar vid val av leverantörer. Vi måste nu ta ett helhetsgrepp med hela leveranskedjans motståndskraft i fokus.
Vid upphandling av it-system är flera specialiserade leverantörer inblandade. Om en mindre aktör med bristande säkerhet utsätts för cyberangrepp kan hela kedjan kollapsa.
TietoEvry-hacket i fjol är ett skrämmande exempel. It-leverantören som hanterar känslig data och digitala tjänster för en mängd verksamheter i Södermanland och runt om i landet, drabbades av en ransomware-attack. Attacken resulterade i ett flertal driftstopp och potentiella dataläckor för flera beställare, bland annat Rusta, Filmstaden, Region Uppsala och Systembolaget.
Sårbarhetsrisken med digitala leveranskedjor är alltså inte ett nytt problem. Vad vi dock ser i Svenskt Säkerhetsindex 2025, som it-säkerhetsföretaget Omegapoint släpper i februari, är att skillnaden i säkerhetsmognad mellan små och stora aktörer blir alltmer påfallande. Större företag har resurser att granska sina leverantörer, ställa krav och implementera säkra rutiner. Mindre företag, med begränsade budgetar och kompetens, måste ofta förlita sig på certifieringar – vilket kan vara otillräckligt.
Detta är hotaktörerna medvetna om. Genom att angripa en liten aktör i leveranskedjan får de tillgång till större verksamheter några steg bort i ledet. Följden är att små företag tvingas försvara sig mot hot som egentligen riktas mot deras kunder eller beställare. Detta är inte hållbart.
Vi måste därför sluta se säkerhetsarbetet som isolerat till den egna verksamheten och i stället börja betrakta hela leveranskedjans motståndskraft som avgörande.
Säkerhetsskyddslagen och den kommande Cybersäkerhetslagen är viktiga steg i rätt riktning, men mer krävs. För att säkerställa att även små it-leverantörer i Södermanland möter kraven behövs:
1. Tydliga krav och due diligence vid inköp av it-tjänster.
2. Stöd och resurser från myndigheter och större företag för att stärka mindre leverantörers säkerhet.
För att skydda verksamheter i Södermanland mot cyberangrepp behöver vi minska gapet i företags säkerhetsmognad, vilket kräver konkreta stödåtgärder – annars riskerar vi att spela rysk roulett med it-säkerheten. Har vi råd att ta den risken?
Sörmländska småföretag – en sårbar länk
Om en mindre aktör med bristande säkerhet utsätts för cyberangrepp kan hela kedjan kollapsa, skriver Johan Malmliden, Omegapoint.
Foto: Fredrik Sandberg/TT
Det här är en debattartikel. Åsikterna i texten är skribentens egna.