Sommaren 2021 drabbades Coop av en omfattande IT-attack som tvingade dem att stänga över 800 butiker. Kassasystemen slogs ut av ett ransomware-angrepp som kom via leverantören Kaseya - en så kallad supply chain-attack som visade hur sårbara moderna verksamheter är för cyberattacker genom leverantörskedjan.
Incidenten visade tydligt hur viktigt det är med stark IT-säkerhet, systematisk leverantörshantering och att ha en tydlig plan för incident response. I den här artikeln går vi igenom några avgörande lärdomar från Coop-incidenten och hur ramverk som ISO 27001 och NIS2-direktivet kan hjälpa organisationer att förebygga och hantera liknande hot.
Alla kedjor är bara så starka som sin svagaste länk
Coop-incidenten är ett tydligt exempel på hur sårbarhet längre ner i leveranskedjan kan få omfattande konsekvenser för hela verksamheten.
När företaget Kaseya drabbades av en ransomware-attack, påverkades Coop indirekt genom att deras mjukvaruleverantörer använde Kaseyas produkter. Detta ledde till att Coops kassasystem slutade fungera helt, trots att Coop själva inte hade någon direkt relation till Kaseya. Detta är definitionen av en supply chain-attack.
Händelsen understryker vikten av att systematiskt säkerställa att alla delar av leveranskedjan är skyddade. ISO 27001 kräver att organisationer identifierar och hanterar risker i leverantörskedjan, och kommande NIS2-direktivet ställer än tydligare krav på att säkra tredjepartsrelationer.
En liten säkerhetsbrist hos en underleverantör kan få stora konsekvenser. Det är därför avgörande att arbeta proaktivt med leverantörssäkerhet genom regelbundna säkerhetskontroller, tydliga säkerhetskrav i avtal, samordnade krisplaner och kontinuerlig kommunikation med leverantörer och partners.
Vikten av en bra återhämtningsplan
För Coop tog det sex dagar innan alla kunder kunde börja handla igen, men även efter dessa dagar fungerade inte alla kassor optimalt. Coops tekniker fick åka ut upprepade gånger för att åtgärda kassor, kösystem och skrivare.
Faktum är att det tog ytterligare sex veckor innan alla system var helt återställda. Detta understryker hur kritiskt det är att ha en genomarbetad business continuity-plan och disaster recovery-strategi.
ISO 27001 kräver att organisationer har dokumenterade rutiner för incident response och återhämtning, medan NIS2-direktivet ställer specifika krav på att kritiska verksamheter ska kunna upprätthålla kontinuitet även vid omfattande cyberattacker. Förmågan att snabbt återgå till normal drift är avgörande för att minimera ekonomiska förluster och upprätthålla kundernas förtroende, men man måste också ha realistiska förväntningar på återhämtningstider.
IT-säkerhet är ett ständigt arbete
En viktig lärdom från Coop-incidenten är att IT-säkerhet är ett kontinuerligt arbete som kräver ständig uppmärksamhet och utveckling.
Det räcker inte att implementera säkerhetsåtgärder en gång - de måste kontinuerligt förbättras och anpassas efter den aktuella hotbilden. Regelbunden sårbarhetsskanning och uppdateringar av säkerhetssystem är grundläggande för att hålla försvaret starkt.
För att uppnå en hög nivå av IT-säkerhet är det avgörande att förstå den egna verksamheten och dess plats i leveranskedjan, vilket Coop-incidenten tydligt visar. Ett strukturerat arbete enligt ramverk som ISO 27001 eller NIST Cybersecurity Framework ger en solid grund för systematiskt säkerhetsarbete.
Coop-incidenten påminner oss om att cyberhot är verkliga och kan få omfattande konsekvenser för verksamheten. Ingen organisation är immun - oavsett storlek eller bransch kan alla drabbas. Därför är det avgörande att vara förberedd och agera proaktivt innan det värsta inträffar.
Investera kontinuerligt i säkerhetsutbildning, håll systemen uppdaterade och skapa en kultur där IT-säkerhet är en naturlig del av styrning och ledning. Detta skapar förutsättningar för att snabbt identifiera och hantera hot innan de orsakar skada.
Vanliga frågor om Coop-incidenten
Hur lång tid tog det innan Coop var igång igen? Det tog sex dagar innan kunderna kunde handla igen, men det tog ytterligare sex veckor innan alla system var helt återställda. Totalt påverkades verksamheten under nästan två månader.
Varför drabbades Coop av Kaseya-attacken? Coop drabbades indirekt genom en supply chain-attack. Deras kassasystemleverantörer använde Kaseyas mjukvara för fjärrhantering, och när Kaseya hackades spred sig ransomware-viruset vidare till Coops system utan att Coop själva hade någon direkt relation till Kaseya.
Hur många butiker påverkades? Over 800 Coop-butiker i Sverige tvingades stänga under attacken, vilket gjorde det till en av Sveriges största cyberincidenter någonsin.
Vad kan företag göra för att skydda sig mot supply chain-attacker? Företag bör systematiskt utvärdera leverantörers säkerhet, ställa tydliga säkerhetskrav i avtal, genomföra regelbundna säkerhetsgranskningar och ha en dokumenterad incident response-plan. Ramverk som ISO 27001 och kommande NIS2-direktivet ger vägledning för detta arbete.
Vilka regelverk berör säkerhet i leveranskedjan? NIS2-direktivet ställer specifika krav på att kritiska verksamheter ska hantera risker i leveranskedjan. ISO 27001 innehåller kontroller för leverantörshantering, och GDPR kräver att personuppgiftsansvariga säkerställer att även personuppgiftsbiträden hanterar data säkert.
