Äri turvalisus
Oma partnerite ja tarnijate turvahoiaku pime usaldamine ei ole jätkusuutlik – on aeg tõhusa tarnijate riskijuhtimise kaudu kontroll enda kätte võtta
25 Jan 2024 • , 5 min. lugeda
Maailm on üles ehitatud tarneahelatele. Need on sidekude, mis hõlbustavad ülemaailmset kaubandust ja õitsengut. Kuid need kattuvate ja omavahel seotud ettevõtete võrgustikud on järjest keerukamad ja läbipaistmatumad. Enamik neist hõlmab tarkvara ja digitaalteenuste pakkumist või sõltuvad vähemalt mingil moel võrgusuhtlusest. See seab nad häirete ja kompromisside ohtu.
Eelkõige väikesed ja keskmise suurusega ettevõtted ei pruugi oma tarneahelate turvalisuse juhtimiseks ennetavalt otsida ega omada ressursse. Aga pimesi usaldades oma partnereid ja tarnijaid nende küberturvalisuse seisukohast ei ole praeguses kliimas jätkusuutlik. Tõepoolest, on (minevik) aeg hakata tõsiselt tegelema tarneahela riskide juhtimisega.
Mis on tarneahela risk?
Tarneahela küberriskid võivad esineda mitmel kujul, alates ransomware andmevargusest kuni teenuse keelamiseni (DDoS) ja pettuseni. Need võivad mõjutada traditsioonilisi tarnijaid, näiteks professionaalseid teenuseid osutavaid ettevõtteid (nt juristid, raamatupidajad) või äritarkvara müüjaid. Ründajad võivad hakata otsima ka hallatud teenusepakkujaid (MSP), sest sel viisil ühtainsat ettevõtet ohustades võivad nad saada juurdepääsu potentsiaalselt suurele hulgale järgnevatele klientidele. Uuringud eelmisest aastast selgus, et 90% MSP-dest kannatas viimase 18 kuu jooksul küberrünnaku all.
Siin on mõned tarneahela küberrünnakute peamised tüübid ja nende toimumisviis.
- Ohustatud varaline tarkvara: Küberkurjategijad muutuvad julgemaks. Mõnel juhul on nad suutnud leida viisi tarkvaraarendajate kompromiteerimiseks ja pahavara sisestamiseks koodi, mis seejärel tarnitakse järgnevatele klientidele. See juhtus aastal Kaseya lunavarakampaania. Uuemal juhul populaarne failiedastustarkvara MOVEit oli ohus nullpäeva haavatavus ja sadadelt ärikasutajatelt varastatud andmed, mis mõjutavad miljoneid nende kliente. Vahepeal on 3CX sidetarkvara kompromiss läks ajalukku kui esimene avalikult dokumenteeritud juhtum, kus üks tarneahela rünnak viis teiseni.
- Rünnakud avatud lähtekoodiga tarneahelate vastu: Enamik arendajaid kasutab avatud lähtekoodiga komponente, et kiirendada oma tarkvaraprojektide turule jõudmist. Kuid ohus osalejad teavad seda ja on hakanud komponentidesse pahavara lisama ja populaarsetes hoidlates kättesaadavaks tegema. Üks aruanne väidab aasta varasemaga võrreldes on selliste rünnakute arv kasvanud 633%. Ohutegijad kasutavad kiiresti ära ka avatud lähtekoodi haavatavusi, mille parandamine võib mõnel kasutajal olla aeglane. See juhtus siis, kui peaaegu üldlevinud tööriistast leiti kriitiline viga tuntud kui Log4j.
- Tarnijatena esinemine pettuse eesmärgil: Keerukad rünnakud, mida tuntakse kui ärimeili kompromiss (BEC) kaasavad mõnikord petturid, kes esinevad tarnijatena, et meelitada klienti neile raha andma. Ründaja kaaperdab tavaliselt ühele või teisele osapoolele kuuluva e-posti konto, jälgides meilivooge, kuni on õige aeg sekkuda ja saata muudetud pangaandmetega võltsarve.
- Mandaadi vargus: Ründajad varastada sisselogimisi tarnijad, kes üritavad rikkuda kas tarnijat või nende kliente (kelle võrkudele neil võib olla juurdepääs). See juhtus 2013. aasta massilise sihtmärgi rikkumisega, kui häkkerid varastasid volikirjad ühe jaemüüja HVAC-tarnija.
- Andmete vargus: Paljud tarnijad salvestavad oma klientide kohta tundlikke andmeid, eriti ettevõtted, nagu advokaadibürood, kes on kursis intiimsete ettevõttesaladustega. Need on atraktiivne sihtmärk ohus osalejatele, kes otsivad teavet, mida nad saavad raha teenida väljapressimise teel või muul viisil.
Kuidas hindate ja vähendate tarnija riski?
Olenemata tarneahela konkreetsest riskitüübist võib lõpptulemus olla sama: rahaline ja mainekahju ning hagide, töökatkestuste, müügikaotuse ja vihaste klientide oht. Siiski on võimalik neid riske maandada, järgides mõningaid valdkonna parimaid tavasid. Siin on kaheksa ideed:
- Viige läbi iga uue tarnija hoolsuskontroll. See tähendab, et kontrollige, kas nende turbeprogramm vastab teie ootustele ja et neil on ohukaitseks, avastamiseks ja reageerimiseks kehtestatud baasmeetmed. Tarkvaratarnijate puhul peaks see ulatuma ka selleni, kas neil on haavatavuse haldusprogramm ja milline on nende maine nende toodete kvaliteedi osas.
- Hallake avatud lähtekoodiga riske. See võib tähendada tarkvarakomponentide nähtavuse saamiseks tarkvara koostise analüüsi (SCA) tööriistade kasutamist koos haavatavuste ja pahavara pideva kontrollimisega ning vigade kiire parandamisega. Samuti veenduge, et arendajameeskonnad mõistaksid toodete arendamisel kavandatud turvalisuse tähtsust.
- Viige läbi kõigi tarnijate riskiülevaade. See algab sellest, et mõistate, kes on teie tarnijad, ja seejärel kontrollige, kas neil on baasturvameetmed paigas. See peaks laienema nende endi tarneahelatele. Kontrollige sageli ja kontrollige, kas see on akrediteeritud vastavalt valdkonna standarditele ja eeskirjadele, kui see on asjakohane.
- Pidage kõigi heakskiidetud tarnijate nimekirja ja värskendage seda regulaarselt vastavalt oma auditi tulemustele. Tarnijate nimekirja regulaarne auditeerimine ja ajakohastamine võimaldab organisatsioonidel läbi viia põhjalikke riskianalüüse, tuvastades võimalikud haavatavused ja tagades, et tarnijad järgivad küberturvalisuse standardeid.
- Kehtestage tarnijate jaoks ametlik poliitika. See peaks kirjeldama teie nõudeid tarnija riski maandamiseks, sealhulgas kõik SLA-d, mida tuleb täita. Sellisena toimib see alusdokumendina, milles kirjeldatakse ootusi, standardeid ja protseduure, millest tarnijad peavad kinni pidama, et tagada kogu tarneahela turvalisus.
- Hallake tarnijate juurdepääsu riske. Jõustada tarnijate seas minimaalsete privileegide põhimõte, kui nad vajavad juurdepääsu ettevõtte võrgule. Seda võiks kasutada osana a Null-usaldusviis, kus kõik kasutajad ja seadmed on kuni kontrollimiseni ebausaldusväärsed ning pidev autentimine ja võrgu jälgimine lisavad täiendava riskide maandamise kihi.
- Töötage välja juhtumitele reageerimise plaan. Halvima stsenaariumi korral veenduge, et teil on hästi läbimõeldud plaan, mida järgida ohu ohjeldamiseks, enne kui see võib organisatsiooni mõjutada. See hõlmab ka seda, kuidas suhelda teie tarnijate heaks töötavate meeskondadega.
- Kaaluge tööstusstandardite rakendamist. ISO 27001 ja ISO 28000 on palju kasulikke viise mõne ülaltoodud sammu saavutamiseks, et tarnija riski minimeerida.
USA-s oli eelmisel aastal tarneahela rünnakuid 40% rohkem kui pahavarapõhiseid rünnakuid üks aruanne. Nende tulemuseks olid rikkumised, mis mõjutasid üle 10 miljoni inimese. On aeg võtta kontroll tagasi tõhusama tarnija riskijuhtimise kaudu.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- :on
- :on
- :mitte
- : kus
- $ 10 miljonit
- 10
- 2013
- a
- Võimalik
- MEIST
- üle
- kiirendama
- juurdepääs
- Vastavalt
- konto
- akrediteerimine
- Saavutada
- osalejad
- lisades
- kinni pidama
- pärast
- Joondab
- Materjal: BPA ja flataatide vaba plastik
- kõrval
- Ka
- muuta
- vahel
- an
- analüüs
- ja
- Teine
- mistahes
- asjakohane
- heaks
- OLEME
- AS
- hinnata
- Hindamine
- hinnangud
- At
- rünnak
- Reageerib
- katse
- ahvatlev
- audit
- auditeerimine
- Autentimine
- saadaval
- tagasi
- Pank
- Baseline
- BE
- BEC
- sest
- olnud
- enne
- alanud
- kuulumine
- BEST
- parimaid tavasid
- pimesi
- rikkumine
- rikkumisi
- Bug
- vead
- ehitatud
- äri
- ettevõtted
- kuid
- by
- Kampaania
- CAN
- juhul
- juhtudel
- Kategooria
- kett
- ketid
- võimalus
- kontrollima
- kontroll
- klient
- kliendid
- Kliima
- kood
- KOMMUNIKATSIOON
- Ettevõtted
- ettevõte
- keeruline
- komponendid
- koostis
- kompromiss
- kompromiteeriv
- Läbi viima
- sisaldama
- pidev
- kontrollida
- Korporatiivne
- võiks
- kriitiline
- Praegune
- Kliendid
- cyber
- Küberrünnak
- Küberturvalisus
- kahju
- andmed
- DDoS
- esitatud
- Denial of Service
- lähetatud
- Disain
- detailid
- Detection
- arendaja
- Arendajad
- arenev
- seadmed
- digitaalne
- digitaalteenused
- hoolsus
- Katkestus
- do
- dokument
- alla
- kaks
- e
- Tõhus
- kaheksa
- kumbki
- võimaldama
- lõpp
- tagama
- tagades
- eriti
- sündmus
- ootused
- Ekspluateeri
- laiendama
- lisatasu
- hõlbustab
- võlts
- fail
- finants-
- leidma
- ettevõtetele
- kõige esimene
- Voolud
- järgima
- Järel
- eest
- formaalne
- vormid
- avastatud
- alus
- pettus
- petturid
- sageli
- Alates
- kasu
- saama
- saamine
- Globaalne
- maailmakaubanduse
- Go
- juhtuda
- juhtus
- Olema
- siin
- kaaperdamine
- ajalugu
- Kuidas
- Kuidas
- HTML
- HTTPS
- sajad
- ideid
- identifitseerimiseks
- if
- mõju
- mõjutavad
- rakendamisel
- tähtsus
- in
- juhtum
- intsidentidele reageerimine
- sisaldama
- Kaasa arvatud
- Suurendama
- üha rohkem
- tõepoolest
- inimesed
- tööstus
- tööstuse standardid
- info
- interaktsioonid
- intiimne
- sisse
- arve
- kaasama
- ISO
- IT
- John
- jpg
- Teadma
- teatud
- suur
- viimane
- Eelmisel aastal
- Seadus
- advokaadibürood
- advokaadid
- kiht
- juhtivate
- kõige vähem
- suhelda
- nagu
- nimekiri
- Loetletud
- otsin
- kadunud
- palju
- põhiline
- Tegemine
- malware
- juhtima
- juhitud
- juhtimine
- juhtiv
- palju
- Turg
- suur
- max laiuse
- mai..
- keskmine
- vahendid
- Vahepeal
- meetmed
- mõdu
- võib
- miljon
- miljonid
- minutit
- Leevendada
- leevendav
- leevendamine
- raha
- järelevalve
- kuu
- rohkem
- kõige
- peab
- võrk
- võrgustikud
- Uus
- number
- of
- on
- ONE
- Internetis
- läbipaistmatu
- avatud
- avatud lähtekoodiga
- töökorras
- or
- et
- organisatsioon
- organisatsioonid
- Muu
- välja
- Seisud
- kontuur
- visandades
- üle
- üldine
- enda
- osa
- eriline
- partnerid
- partei
- minevik
- Plaaster
- Lappimine
- PHIL
- Koht
- kava
- Platon
- Platoni andmete intelligentsus
- PlatoData
- poliitika
- populaarne
- võimalik
- potentsiaal
- potentsiaalselt
- tavad
- eelmine
- põhimõte
- privileeg
- menetlused
- Toodet
- professionaalne
- Programm
- projektid
- varaline
- heaolu
- kaitse
- pakkujad
- avalikult
- Paneb
- kvaliteet
- Kiire
- ransomware
- hiljuti
- kohta
- regulaarne
- regulaarselt
- määrused
- aru
- esindama
- maine
- nõudma
- Nõuded
- Vahendid
- vastus
- kaasa
- Tulemused
- Revealed
- läbi
- õige
- Oht
- riskijuhtimise
- riskide
- müük
- sama
- skaneerimine
- stsenaarium
- saladusi
- turvalisus
- Turvameetmed
- saatma
- tundlik
- tõsine
- teenib
- teenus
- teenusepakkujad
- Teenused
- peaks
- ühekordne
- aeglane
- tarkvara
- tarkvara komponendid
- Tarkvaraarendajad
- mõned
- mõnikord
- keeruline
- allikas
- lähtekoodi
- konkreetse
- standardite
- algab
- Samm
- Sammud
- varastas
- varastatud
- salvestada
- Järgnevalt
- selline
- kannatanud
- tarnija
- Tarnijate
- varustama
- tarneahelas
- Tarneahelad
- jätkusuutlik
- Võtma
- sihtmärk
- meeskonnad
- kui
- et
- .
- vargus
- oma
- Neile
- SIIS
- Seal.
- Need
- nad
- see
- oht
- ohus osalejad
- Läbi
- aeg
- et
- tööriist
- töövahendid
- kaubelda
- traditsiooniline
- üle
- Usalda
- usaldav
- tüüp
- liigid
- mõistma
- mõistmine
- kuni
- Värskendused
- ajakohastamine
- us
- kasutama
- kasulik
- Kasutajad
- kasutamine
- tavaliselt
- müüjad
- kinnitatud
- kaudu
- nähtavus
- Haavatavused
- haavatavus
- oli
- Tee..
- kuidas
- läks
- olid
- M
- millal
- kas
- mis
- WHO
- kelle
- will
- koos
- töö
- maailm
- halvim
- aasta
- veel
- sa
- Sinu
- sephyrnet