Vurdering av sikkerhetstrusler og risiko i komplekse leveransekjeder

Digitalisering av forretningsprosesser medfører at leverandører og ikke minst leverandør-eierskap kan endres raskt og uten virksomhetens reelle godkjenning. Som eksempel kan nevnes datasenteret Green Mountain i Rogaland som med sin utpregede miljøprofil er brukt av kunder som selv har en miljøprofil. Når det ble annonsert at Green Mountain gikk over til Israelsk eierskap stilte mange kunder seg nok spørsmål om hvordan dette påvirker dem: burde de da gjennomføe en risikovurdering av et slikt eierskifte, og hvilke tiltak burde en virksomhet implementere? Hva om Green Mountains nye eiere var en kinesisk eller russisk aktør? Et annet eksempel på trusseleksponering gjennom leveransekjeden er saken rundt SolarWinds som hadde en alvorlig sårbarhet i sine produkter for nettverksadministrasjon. Hackere utnyttet denne sårbarheten for å angripe kunder av Solarwinds. Dette masterprosjektet går ut på å definere en modell/tilnærming for trussel- sårbarhets- og risikovurdering av lange/komplekse leveransekjeder, og hvilke krav en virksomhet kan stille til en underleverandør, slik at den f.eks. kan stilles til regnskap for hendelser som følge sårbarheter hos underleverandøren, og slik at det er praktisk mulig for en virksomhet å faktisk utøve leverandørkontroll.