أمن الأعمال
إن الثقة العمياء بشركائك ومورديك فيما يتعلق بوضعهم الأمني أمر غير مستدام - لقد حان الوقت لتولي زمام الأمور من خلال الإدارة الفعالة لمخاطر الموردين
يناير 25 2024 • , 5 دقيقة. اقرأ
العالم مبني على سلاسل التوريد. فهي النسيج الضام الذي يسهل التجارة العالمية والازدهار. لكن هذه الشبكات من الشركات المتداخلة والمترابطة أصبحت معقدة ومبهمة على نحو متزايد. وينطوي معظمها على توفير البرامج والخدمات الرقمية، أو على الأقل تعتمد بطريقة ما على التفاعلات عبر الإنترنت. وهذا يعرضهم لخطر التعطيل والتسوية.
الشركات الصغيرة والمتوسطة على وجه الخصوص قد لا تبحث بشكل استباقي، أو لا تملك الموارد، لإدارة الأمن في سلاسل التوريد الخاصة بها. ولكن بشكل أعمى الثقة بشركائك ومورديك فيما يتعلق بوضعهم في مجال الأمن السيبراني غير مستدامة في ظل المناخ الحالي. في الواقع، لقد حان الوقت (الماضي) لاتخاذ موقف جدي بشأن إدارة مخاطر سلسلة التوريد.
ما هي مخاطر سلسلة التوريد؟
يمكن أن تتخذ المخاطر السيبرانية لسلسلة التوريد أشكالًا عديدة، من الفدية وسرقة البيانات ورفض الخدمة (DDoS) والاحتيال. وقد تؤثر على الموردين التقليديين مثل شركات الخدمات المهنية (مثل المحامين والمحاسبين) أو بائعي برامج الأعمال. قد يلاحق المهاجمون أيضًا مقدمي الخدمات المُدارة (MSPs)، لأنه من خلال اختراق شركة واحدة بهذه الطريقة، يمكنهم الوصول إلى عدد كبير محتمل من شركات العملاء النهائية. الأبحاث من العام الماضي كشفت أن 90% من مقدمي خدمات MSP تعرضوا لهجوم إلكتروني خلال الـ 18 شهرًا الماضية.
فيما يلي بعض الأنواع الرئيسية للهجمات الإلكترونية لسلسلة التوريد وكيفية حدوثها:
- البرمجيات الاحتكارية المعرضة للخطر: أصبح مجرمو الإنترنت أكثر جرأة. وفي بعض الحالات، تمكنوا من إيجاد طريقة لاختراق مطوري البرامج، وإدراج برامج ضارة في التعليمات البرمجية التي يتم تسليمها لاحقًا إلى العملاء النهائيين. وهذا ما حدث في حملة الفدية Kasya. في حالة أحدث، برنامج نقل الملفات الشهير تم اختراق MOVEit بسبب ثغرة يوم الصفر وسرقة البيانات من مئات مستخدمي الشركات، مما أثر على الملايين من عملائهم. وفي الوقت نفسه، حل وسط لبرنامج الاتصالات 3CX تم تسجيله في التاريخ باعتباره أول حادث موثق علنًا على الإطلاق لهجوم على سلسلة التوريد يؤدي إلى هجوم آخر.
- الهجمات على سلاسل التوريد مفتوحة المصدر: يستخدم معظم المطورين مكونات مفتوحة المصدر لتسريع الوقت اللازم لتسويق مشاريعهم البرمجية. لكن الجهات الفاعلة في مجال التهديد تعرف ذلك، وبدأت في إدخال برامج ضارة في المكونات وإتاحتها في المستودعات الشائعة. يدعي أحد التقارير كانت هناك زيادة بنسبة 633٪ على أساس سنوي في مثل هذه الهجمات. كما تسارع الجهات الفاعلة في مجال التهديد إلى استغلال نقاط الضعف في التعليمات البرمجية مفتوحة المصدر والتي قد يكون بعض المستخدمين بطيئين في تصحيحها. وهذا ما حدث عندما تم العثور على خطأ فادح في أداة شبه واسعة الانتشار المعروف باسم Log4j.
- انتحال صفة الموردين بغرض الاحتيال: الهجمات المتطورة المعروفة باسم حل وسط البريد الإلكتروني للأعمال (BEC) تتضمن في بعض الأحيان المحتالين الذين ينتحلون صفة الموردين من أجل خداع العميل لتحويل الأموال إليه. عادةً ما يقوم المهاجم باختطاف حساب بريد إلكتروني ينتمي إلى طرف أو آخر، ومراقبة تدفقات البريد الإلكتروني حتى يحين الوقت المناسب للتدخل وإرسال فاتورة مزيفة تحتوي على تفاصيل بنكية معدلة.
- سرقة بيانات الاعتماد: المهاجمين سرقة تسجيلات الدخول الموردين في محاولة لاختراق المورد أو عملائهم (الذين قد يمكنهم الوصول إلى شبكاتهم). وهذا ما حدث في اختراق الهدف الضخم عام 2013 عندما سرق المتسللون أوراق الاعتماد أحد موردي خدمات التدفئة والتهوية وتكييف الهواء (HVAC) لدى بائعي التجزئة.
- سرقة البيانات: يقوم العديد من الموردين بتخزين بيانات حساسة عن عملائهم، وخاصة الشركات مثل مكاتب المحاماة المطلعة على أسرار الشركات الحميمة. إنهم يمثلون هدفًا جذابًا للجهات الفاعلة في مجال التهديد الذين يبحثون عن المعلومات التي يمكنهم الحصول عليها تحقيق الدخل عن طريق الابتزاز أو وسائل أخرى.
كيف يمكنك تقييم وتخفيف مخاطر الموردين؟
مهما كان نوع مخاطر سلسلة التوريد المحددة، فإن النتيجة النهائية يمكن أن تكون هي نفسها: الضرر المالي وضرر السمعة ومخاطر الدعاوى القضائية، وانقطاع العمليات، وخسارة المبيعات، والعملاء الغاضبين. ومع ذلك، فمن الممكن إدارة هذه المخاطر من خلال اتباع بعض أفضل ممارسات الصناعة. إليك ثمانية أفكار:
- القيام بالعناية الواجبة على أي مورد جديد. وهذا يعني التحقق من توافق برنامج الأمان الخاص بهم مع توقعاتك، وأن لديهم إجراءات أساسية مطبقة للحماية من التهديدات واكتشافها والاستجابة لها. بالنسبة لموردي البرامج، يجب أن يمتد الأمر أيضًا إلى ما إذا كان لديهم برنامج لإدارة الثغرات الأمنية وما هي سمعتهم فيما يتعلق بجودة منتجاتهم.
- إدارة مخاطر المصادر المفتوحة. قد يعني هذا استخدام أدوات تحليل تكوين البرامج (SCA) للحصول على رؤية واضحة لمكونات البرامج، إلى جانب المسح المستمر بحثًا عن نقاط الضعف والبرامج الضارة، والتصحيح الفوري لأي أخطاء. تأكد أيضًا من فهم فرق التطوير لأهمية الأمان حسب التصميم عند تطوير المنتجات.
- إجراء مراجعة للمخاطر لجميع الموردين. يبدأ هذا بفهم هوية الموردين ثم التحقق مما إذا كان لديهم إجراءات أمنية أساسية مطبقة. وينبغي أن يمتد هذا إلى سلاسل التوريد الخاصة بهم. قم بالتدقيق بشكل متكرر وتحقق من الاعتماد وفقًا لمعايير ولوائح الصناعة حيثما كان ذلك مناسبًا.
- احتفظ بقائمة بجميع الموردين المعتمدين لديك وقم بتحديث ذلك بانتظام وفقًا لنتائج التدقيق الخاص بك. إن التدقيق المنتظم وتحديث قائمة الموردين سيمكن المؤسسات من إجراء تقييمات شاملة للمخاطر، وتحديد نقاط الضعف المحتملة وضمان التزام الموردين بمعايير الأمن السيبراني.
- وضع سياسة رسمية للموردين. يجب أن يوضح هذا متطلباتك لتخفيف مخاطر الموردين، بما في ذلك أي اتفاقيات مستوى الخدمة التي يجب الوفاء بها. وعلى هذا النحو، فهي بمثابة وثيقة تأسيسية تحدد التوقعات والمعايير والإجراءات التي يجب على الموردين الالتزام بها من أجل ضمان أمن سلسلة التوريد الشاملة.
- إدارة مخاطر وصول الموردين. فرض مبدأ الامتياز الأقل بين الموردين، إذا كانوا يحتاجون إلى الوصول إلى شبكة الشركة. يمكن نشر هذا كجزء من نهج الثقة الصفرية، حيث يكون جميع المستخدمين والأجهزة غير موثوق بهم حتى يتم التحقق منهم، مع المصادقة المستمرة ومراقبة الشبكة مما يضيف طبقة إضافية من تخفيف المخاطر.
- تطوير خطة الاستجابة للحوادث. في حالة حدوث أسوأ السيناريوهات، تأكد من أن لديك خطة تم التدرب عليها جيدًا لاتباعها من أجل احتواء التهديد قبل أن تتاح له فرصة التأثير على المنظمة. وسيشمل ذلك كيفية الاتصال بالفرق العاملة لدى الموردين لديك.
- النظر في تنفيذ معايير الصناعة. إعتماد ISO-27001 و إعتماد ISO-28000 لدينا الكثير من الطرق المفيدة لتحقيق بعض الخطوات المذكورة أعلاه لتقليل مخاطر الموردين.
في الولايات المتحدة العام الماضي، كانت هناك هجمات على سلسلة التوريد أكثر بنسبة 40٪ من الهجمات القائمة على البرامج الضارة، وفقًا لـ تقرير واحد. وأدى ذلك إلى انتهاكات أثرت على أكثر من 10 ملايين فرد. لقد حان الوقت لاستعادة السيطرة من خلال إدارة مخاطر الموردين بشكل أكثر فعالية.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- :لديها
- :يكون
- :ليس
- :أين
- 10 مليون دولار
- 10
- 2013
- a
- ماهرون
- من نحن
- فوق
- تسريع
- الوصول
- وفقا
- حسابي
- الاعتماد الاكاديمي
- التأهيل
- الجهات الفاعلة
- مضيفا
- انضمت
- بعد
- يحاذي
- الكل
- جنبا إلى جنب
- أيضا
- تغيير
- من بين
- an
- تحليل
- و
- آخر
- أي وقت
- مناسب
- من وزارة الصحة
- هي
- AS
- تقييم
- تقييم
- تقييم
- At
- مهاجمة
- الهجمات
- محاولة
- جذاب
- التدقيق
- التدقيق
- التحقّق من المُستخدم
- متاح
- الى الخلف
- مصرف
- خط الأساس
- BE
- BEC
- لان
- كان
- قبل
- بدأت
- انتماء
- أفضل
- أفضل الممارسات
- عمياء
- خرق
- مخالفات
- علة
- البق
- بنيت
- الأعمال
- الأعمال
- لكن
- by
- الحملات
- CAN
- حقيبة
- الحالات
- الفئة
- سلسلة
- السلاسل
- فرصة
- التحقق
- تدقيق
- زبون
- عميل
- مناخ
- الكود
- Communication
- الشركات
- حول الشركة
- مجمع
- مكونات
- تركيب
- حل وسط
- مساومة
- إدارة
- تحتوي على
- متواصل
- مراقبة
- منظمة
- استطاع
- حرج
- حالياًّ
- العملاء
- الانترنت
- هجوم الانترنت
- الأمن السيبراني
- تلف
- البيانات
- دوس
- تم التوصيل
- الحرمان من الخدمة
- نشر
- تصميم
- تفاصيل
- كشف
- المطور
- المطورين
- تطوير
- الأجهزة
- رقمي
- الخدمات الرقمية
- الاجتهاد
- تشويش
- do
- وثيقة
- إلى أسفل
- اثنان
- e
- الطُرق الفعّالة
- ثمانية
- إما
- البريد الإلكتروني
- تمكين
- النهاية
- ضمان
- ضمان
- خاصة
- الحدث/الفعالية
- التوقعات
- استغلال
- مد
- احتفل على
- يسهل
- زائف
- قم بتقديم
- مالي
- الشركات
- لأول مرة من أي وقت مضى
- يطفو
- اتباع
- متابعيك
- في حالة
- رسمي
- أشكال
- وجدت
- التأسيسية
- احتيال
- المحتالين
- كثيرا
- تبدأ من
- ربح
- دولار فقط واحصل على خصم XNUMX% على جميع
- الحصول على
- العالمية
- التجارة العالمية
- Go
- يحدث
- حدث
- يملك
- هنا
- خطف
- تاريخ
- كيفية
- كيفية
- HTML
- HTTPS
- مئات
- الأفكار
- تحديد
- if
- التأثير
- تؤثر
- تحقيق
- أهمية
- in
- حادث
- استجابة الحادث
- تتضمن
- بما فيه
- القيمة الاسمية
- على نحو متزايد
- في الواقع
- الأفراد
- العالمية
- معايير الصناعة
- معلومات
- التفاعلات
- حميم
- إلى
- فاتورة
- تنطوي
- ISO
- IT
- يناير
- JPG
- علم
- معروف
- كبير
- اسم العائلة
- العام الماضي
- القانون
- مؤسسات قانونية
- المحامين
- طبقة
- قيادة
- الأقل
- تنسيق
- مثل
- قائمة
- المدرج
- أبحث
- ضائع
- الكثير
- الرئيسية
- القيام ب
- البرمجيات الخبيثة
- إدارة
- تمكن
- إدارة
- إدارة
- كثير
- تجارة
- هائل
- ماكس العرض
- مايو..
- تعني
- يعني
- في غضون
- الإجراءات
- قابل
- ربما
- مليون
- ملايين
- دقيقة
- تخفيف
- مخففا
- تخفيف
- مال
- مراقبة
- المقبلة.
- الأكثر من ذلك
- أكثر
- يجب
- شبكة
- الشبكات
- جديد
- عدد
- of
- on
- ONE
- online
- غير شفاف
- جاكيت
- المصدر المفتوح
- تشغيل
- or
- طلب
- منظمة
- المنظمات
- أخرى
- خارج
- انقطاع التيار
- الخطوط العريضة
- يحدد
- على مدى
- الكلي
- الخاصة
- جزء
- خاص
- شركاء
- حفلة
- الماضي
- بقعة
- الترقيع
- PHIL
- المكان
- خطة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- سياسة
- الرائج
- ممكن
- محتمل
- يحتمل
- الممارسات
- سابق
- مبدأ
- امتياز
- الإجراءات
- المنتجات
- محترف
- البرنامج
- مشروع ناجح
- الملكية
- ازدهار
- الحماية
- مقدمي
- علانية
- يضع
- جودة
- سريع
- الفدية
- الأخيرة
- بخصوص
- منتظم
- بانتظام
- قوانين
- تقرير
- مثل
- سمعة
- تطلب
- المتطلبات الأساسية
- الموارد
- استجابة
- نتيجة
- النتائج
- أظهرت
- مراجعة
- حق
- المخاطرة
- نماذج إدارة المخاطر
- المخاطر
- الأملاح
- نفسه
- مسح
- سيناريو
- أسرار
- أمن
- التدابير الأمنية
- إرسال
- حساس
- جدي
- يخدم
- الخدمة
- مقدمي الخدمة
- خدماتنا
- ينبغي
- عزباء
- بطيء
- تطبيقات الكمبيوتر
- مكونات البرامج
- مطوري البرامج
- بعض
- أحيانا
- متطور
- مصدر
- شفرة المصدر
- محدد
- المعايير
- يبدأ
- خطوة
- خطوات
- نهب
- مسروق
- متجر
- بعد ذلك
- هذه
- عانى
- مزود
- الموردين
- تزويد
- سلسلة التوريد
- سلاسل التوريد
- استدامة
- أخذ
- الهدف
- فريق
- من
- أن
- •
- سرقة
- من مشاركة
- منهم
- then
- هناك.
- تشبه
- هم
- التهديد
- الجهات التهديد
- عبر
- الوقت
- إلى
- أداة
- أدوات
- تجارة
- تقليدي
- تحويل
- الثقة
- واثق ب
- نوع
- أنواع
- فهم
- فهم
- حتى
- تحديث
- تحديث
- us
- تستخدم
- مفيد
- المستخدمين
- استخدام
- عادة
- الباعة
- التحقق
- بواسطة
- رؤية
- نقاط الضعف
- الضعف
- وكان
- طريق..
- طرق
- ذهب
- كان
- ابحث عن
- متى
- سواء
- التي
- من الذى
- لمن
- سوف
- مع
- عامل
- العالم
- أسوأ
- عام
- حتى الآن
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت