Liiketoiminnan turvallisuus
Sokea luottaminen kumppaneihisi ja toimittajiisi heidän turva-asennossaan ei ole kestävää – on aika ottaa hallinta haltuunsa tehokkaan toimittajariskinhallinnan avulla
Tammikuu 25 2024 • , 5 min. lukea
Maailma on rakennettu toimitusketjuille. Ne ovat sidekudosta, joka helpottaa maailmanlaajuista kauppaa ja vaurautta. Mutta nämä päällekkäisten ja toisiinsa liittyvien yritysten verkostot ovat yhä monimutkaisempia ja läpinäkymättömämpiä. Suurin osa niistä koskee ohjelmistojen ja digitaalisten palveluiden tarjontaa tai ainakin ovat jollain tavalla riippuvaisia verkkovuorovaikutuksista. Tämä asettaa heidät vaaraan joutua häiriöihin ja kompromisseihin.
Etenkään pk-yritykset eivät ehkä etsi ennakoivasti tai niillä ei ole resursseja hallita toimitusketjujensa turvallisuutta. Mutta sokeasti luottaa kumppaneihisi ja toimittajiisi heidän kyberturvallisuusasennossaan ei ole kestävä nykyisessä ilmastossa. On todellakin (mennyt) aika ryhtyä vakavasti toimitusketjun riskien hallintaan.
Mikä on toimitusketjun riski?
Toimitusketjun kyberriskit voivat esiintyä monessa muodossa, alkaen ransomware ja tietovarkaudesta palvelunestoon (DDoS) ja petoksiin. Ne voivat vaikuttaa perinteisiin toimittajiin, kuten asiantuntijapalveluyrityksiin (esim. lakimiehet, kirjanpitäjät) tai yritysohjelmistojen myyjiin. Hyökkääjät voivat myös etsiä hallittuja palveluntarjoajia (MSP), koska vaarantamalla yhden yrityksen tällä tavalla he voivat päästä käsiksi mahdollisesti suureen määrään loppupään asiakasyrityksiä. Tutkimus viime vuodelta paljasti, että 90 % merenkulkualan matkailijoista joutui kyberhyökkäyksen kohteeksi viimeisten 18 kuukauden aikana.
Tässä on joitain toimitusketjun kyberhyökkäysten päätyyppejä ja niiden tapahtumista:
- Vaarantunut oma ohjelmisto: Kyberrikolliset ovat entistä rohkeampia. Joissakin tapauksissa he ovat löytäneet tavan vaarantaa ohjelmistokehittäjät ja lisätä haittaohjelmia koodiin, joka toimitetaan myöhemmin asiakkaille. Näin tapahtui vuonna Kaseya ransomware -kampanja. Uudemmassa tapauksessa suosittu tiedostonsiirtoohjelmisto MOVEit vaarantui nollapäivän haavoittuvuus ja sadoilta yrityskäyttäjiltä varastetut tiedot vaikuttavat miljooniin heidän asiakkaisiinsa. Samaan aikaan, 3CX-viestintäohjelmiston kompromissi meni historiaan ensimmäisenä julkisesti dokumentoituna tapauksena, jossa toimitusketjun hyökkäys johti toiseen.
- Hyökkäykset avoimen lähdekoodin toimitusketjuja vastaan: Useimmat kehittäjät käyttävät avoimen lähdekoodin komponentteja nopeuttaakseen ohjelmistoprojektiensa markkinoille tuloa. Mutta uhkatoimijat tietävät tämän ja ovat alkaneet lisätä haittaohjelmia komponentteihin ja asettaa ne saataville suosittuihin tietovarastoihin. Yksi raportti väittää tällaisten hyökkäysten määrä on lisääntynyt 633 prosenttia vuodentakaiseen verrattuna. Uhkatoimijat käyttävät myös nopeasti hyväkseen avoimen lähdekoodin haavoittuvuuksia, joita jotkut käyttäjät saattavat olla hitaita korjaamaan. Näin tapahtui, kun lähes kaikkialla olevasta työkalusta löydettiin kriittinen virhe tunnetaan nimellä Log4j.
- Toimittajina esiintyminen petoksen vuoksi: Kehittyneet hyökkäykset tunnetaan nimellä yrityssähköpostikompromissi (BEC) on joskus mukana huijareita, jotka esiintyvät toimittajina huijatakseen asiakkaan saamaan heille rahaa. Hyökkääjä kaappaa yleensä jommallekummalle osapuolelle kuuluvan sähköpostitilin ja valvoo sähköpostin kulkua, kunnes on oikea hetki puuttua asiaan ja lähettää väärennetty lasku muutetuilla pankkitiedoilla.
- Tunnistustietojen varkaus: hyökkääjät varastaa kirjautumiset toimittajia yrittäessään rikkoa joko toimittajaa tai heidän asiakkaitaan (jonka verkkoihin heillä voi olla pääsy). Näin tapahtui vuoden 2013 massiivisessa Target-rikkomuksessa hakkerit varastivat tunnukset yhdeltä jälleenmyyjän LVI-toimittajalta.
- Tietojen varastaminen: Monet toimittajat säilyttävät arkaluonteisia tietoja asiakkaistaan, erityisesti yritykset, kuten lakitoimistot, jotka ovat tietoisia intiimeistä yrityssalaisuuksista. Ne edustavat houkuttelevaa kohdetta uhkatoimijoille, jotka etsivät voitavansa tietoa ansaita rahaa kiristämällä tai muilla tavoilla.
Miten arvioit ja pienennät toimittajariskiä?
Olipa toimitusketjun riskityyppi mikä tahansa, lopputulos voi olla sama: taloudellinen ja mainevaurio sekä oikeuskanteiden riski, toimintakatkokset, menetetty myynti ja vihaiset asiakkaat. Näitä riskejä on kuitenkin mahdollista hallita noudattamalla joitakin alan parhaita käytäntöjä. Tässä on kahdeksan ideaa:
- Suorita due diligence kaikista uusista toimittajista. Tämä tarkoittaa, että heidän tietoturvaohjelmansa vastaa odotuksiasi ja että heillä on perustoimenpiteet uhkien suojaamiseksi, havaitsemiseksi ja reagoimiseksi. Ohjelmistotoimittajien osalta tulisi myös ulottua siihen, onko heillä haavoittuvuuksien hallintaohjelma käytössä ja mikä on heidän maineensa tuotteidensa laadussa.
- Hallitse avoimen lähdekoodin riskejä. Tämä saattaa tarkoittaa SCA-työkalujen käyttöä ohjelmistokomponenttien näkyvyyden saamiseksi, jatkuvaa haavoittuvuuksien ja haittaohjelmien etsintää sekä mahdollisten virheiden nopeaa korjausta. Varmista myös, että kehittäjätiimit ymmärtävät suunnittelun turvallisuuden merkityksen tuotteita kehittäessään.
- Suorita riskiarviointi kaikista toimittajista. Tämä alkaa ymmärtämällä, keitä toimittajasi ovat, ja tarkistamalla sitten, ovatko heillä perusturvatoimet käytössä. Tämän pitäisi ulottua heidän omiin toimitusketjuihinsa. Auditoi säännöllisesti ja tarkista, onko alan standardien ja määräysten mukainen akkreditointi tarvittaessa.
- Pidä luettelo kaikista hyväksytyistä toimittajistasi ja päivitä tämä säännöllisesti tarkastuksesi tulosten mukaan. Säännöllinen toimittajaluettelon auditointi ja päivitys antaa organisaatioille mahdollisuuden tehdä perusteellisia riskiarviointeja, tunnistaa mahdolliset haavoittuvuudet ja varmistaa, että toimittajat noudattavat kyberturvallisuusstandardeja.
- Luo muodollinen politiikka toimittajia varten. Tämän pitäisi hahmotella vaatimukset toimittajariskin vähentämiseksi, mukaan lukien mahdolliset palvelutasosopimukset, jotka on täytettävä. Sellaisenaan se toimii perustavana asiakirjana, jossa esitetään odotukset, standardit ja menettelyt, joita toimittajien on noudatettava varmistaakseen koko toimitusketjun turvallisuuden.
- Hallitse toimittajien pääsyriskejä. Toteuttaa toimittajien vähiten etuoikeuksien periaatetta, jos he tarvitsevat pääsyn yritysverkkoon. Tämä voitaisiin ottaa käyttöön osana a Zero Trust -lähestymistapa, jossa kaikki käyttäjät ja laitteet ovat epäluotettavia, kunnes ne on varmistettu. Jatkuva todennus ja verkon valvonta lisäävät ylimääräisen riskinhallintatason.
- Laadi tapaussuunnitelma. Pahimmassa tapauksessa varmista, että sinulla on hyvin harjoiteltu suunnitelma, jota sinun on noudatettava uhan hillitsemiseksi, ennen kuin sillä on mahdollisuus vaikuttaa organisaatioon. Tämä sisältää yhteydenpidon toimittajien parissa työskentelevien ryhmien kanssa.
- Harkitse alan standardien käyttöönottoa. ISO 27001 ja ISO 28000 on monia hyödyllisiä tapoja saavuttaa jotkin yllä luetelluista vaiheista toimittajariskin minimoimiseksi.
Yhdysvalloissa tehtiin viime vuonna 40 % enemmän toimitusketjuhyökkäyksiä kuin haittaohjelmapohjaisia hyökkäyksiä yksi raportti. Ne johtivat yli 10 miljoonaan henkilöön kohdistuviin rikkomuksiin. On aika ottaa hallinta takaisin tehokkaamman toimittajariskinhallinnan avulla.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- :on
- :On
- :ei
- :missä
- $ 10 euroa
- 10
- 2013
- a
- pystyy
- Meistä
- edellä
- kiihdyttää
- pääsy
- Mukaan
- Tili
- akkreditointi
- Saavuttaa
- toimijoiden
- lisää
- noudattaa
- Jälkeen
- Kohdistaa
- Kaikki
- rinnalla
- Myös
- muuttunut
- keskuudessa
- an
- analyysi
- ja
- Toinen
- Kaikki
- sopiva
- hyväksytty
- OVAT
- AS
- arvioida
- arvioidessaan
- arvioinnit
- At
- hyökkäys
- Hyökkäykset
- yritys
- houkutteleva
- tilintarkastus
- tilintarkastus
- Authentication
- saatavissa
- takaisin
- Pankki
- Lähtötilanne
- BE
- BEC
- koska
- ollut
- ennen
- alkaneet
- kuuluvat
- PARAS
- parhaat käytännöt
- sokeasti
- rikkominen
- rikkomisesta
- Vika
- Bugs
- rakennettu
- liiketoiminta
- yritykset
- mutta
- by
- Kampanja
- CAN
- tapaus
- tapauksissa
- Kategoria
- ketju
- kahleet
- mahdollisuus
- tarkastaa
- tarkkailun
- asiakas
- asiakkaat
- Ilmasto
- koodi
- Viestintä
- Yritykset
- yritys
- monimutkainen
- osat
- koostumus
- kompromissi
- vaarantamatta
- Suorittaa
- sisältää
- jatkuva
- ohjaus
- Yrityksen
- voisi
- kriittinen
- Nykyinen
- Asiakkaat
- cyber
- Kyberhyökkäys
- tietoverkkojen
- vahinko
- tiedot
- DDoS
- toimitettu
- Palvelunesto
- käyttöön
- Malli
- yksityiskohdat
- Detection
- Kehittäjä
- kehittäjille
- kehittämällä
- Laitteet
- digitaalinen
- digitaaliset palvelut
- ahkeruus
- Häiriö
- do
- asiakirja
- alas
- kaksi
- e
- Tehokas
- kahdeksan
- myöskään
- mahdollistaa
- loppu
- varmistaa
- varmistamalla
- erityisesti
- tapahtuma
- odotukset
- Käyttää hyväkseen
- laajentaa
- lisää
- Helpottaa
- väärennös
- filee
- taloudellinen
- Löytää
- yritykset
- ensimmäinen koskaan
- virrat
- seurata
- jälkeen
- varten
- muodollinen
- lomakkeet
- löytyi
- perustava
- petos
- huijareiden
- usein
- alkaen
- Saada
- saada
- saada
- Global
- maailmankaupan
- Go
- tapahtua
- tapahtui
- Olla
- tätä
- kaapata
- historia
- Miten
- Miten
- HTML
- HTTPS
- Sadat
- ideoita
- tunnistaminen
- if
- Vaikutus
- vaikuttavia
- täytäntöönpanosta
- merkitys
- in
- tapaus
- tapahtuman vastaus
- sisältää
- Mukaan lukien
- Kasvaa
- yhä useammin
- todellakin
- henkilöt
- teollisuus
- alan standardit
- tiedot
- vuorovaikutukset
- intiimi
- tulee
- lasku
- aiheuttaa
- ISO
- IT
- Johannes
- jpg
- Tietää
- tunnettu
- suuri
- Sukunimi
- Viime vuonna
- Laki
- lakitoimistot
- asianajajat
- kerros
- johtava
- vähiten
- pitää yhteyttä
- pitää
- Lista
- lueteltu
- näköinen
- menetetty
- erien
- tärkein
- Tekeminen
- haittaohjelmat
- hoitaa
- onnistui
- johto
- toimitusjohtaja
- monet
- markkinat
- massiivinen
- max-width
- Saattaa..
- tarkoittaa
- välineet
- Sillä välin
- toimenpiteet
- tapasi
- ehkä
- miljoona
- miljoonia
- minuuttia
- lieventää
- lieventävä
- lieventäminen
- raha
- seuranta
- kk
- lisää
- eniten
- täytyy
- verkko
- verkot
- Uusi
- numero
- of
- on
- ONE
- verkossa
- läpikuultamaton
- avata
- avoimen lähdekoodin
- toiminta-
- or
- tilata
- organisaatio
- organisaatioiden
- Muut
- ulos
- seisokkien
- ääriviivat
- hahmotellaan
- yli
- yleinen
- oma
- osa
- erityinen
- kumppani
- puolue
- Ohi
- läikkä
- kauneuspilkku
- PHIL
- Paikka
- suunnitelma
- Platon
- Platonin tietotieto
- PlatonData
- politiikka
- Suosittu
- mahdollinen
- mahdollinen
- mahdollisesti
- käytännöt
- edellinen
- periaate
- etuoikeus
- menettelyt
- Tuotteemme
- ammatillinen
- Ohjelma
- hankkeet
- patentoitu
- hyvinvointi
- suojaus
- tarjoajat
- julkisesti
- puts
- laatu
- nopea
- ransomware
- äskettäinen
- suhteen
- säännöllinen
- säännöllisesti
- määräykset
- raportti
- edustaa
- maine
- edellyttää
- vaatimukset
- Esittelymateriaalit
- vastaus
- johtua
- tulokset
- Revealed
- arviot
- oikein
- Riski
- riskienhallinta
- riskit
- myynti
- sama
- skannaus
- skenaario
- salaisuuksia
- turvallisuus
- Turvatoimet
- lähettää
- sensible
- vakava
- palvelee
- palvelu
- palveluntarjoajat
- Palvelut
- shouldnt
- single
- hidas
- Tuotteemme
- ohjelmistokomponentit
- Ohjelmistokehittäjät
- jonkin verran
- joskus
- hienostunut
- lähde
- lähdekoodi
- erityinen
- standardit
- alkaa
- Vaihe
- Askeleet
- varasti
- varastettu
- verkkokaupasta
- Myöhemmin
- niin
- kärsi
- toimittaja
- toimittajat
- toimittaa
- toimitusketju
- Toimitusketjut
- kestävä
- ottaa
- Kohde
- tiimit
- kuin
- että
- -
- varkaus
- heidän
- Niitä
- sitten
- Siellä.
- Nämä
- ne
- tätä
- uhkaus
- uhka toimijat
- Kautta
- aika
- että
- työkalu
- työkalut
- kauppaa
- perinteinen
- siirtää
- Luottamus
- luottavainen
- tyyppi
- tyypit
- ymmärtää
- ymmärtäminen
- asti
- Päivitykset
- päivittäminen
- us
- käyttää
- hyödyllinen
- Käyttäjät
- käyttämällä
- yleensä
- myyjät
- todennettu
- kautta
- näkyvyys
- haavoittuvuuksia
- alttius
- oli
- Tapa..
- tavalla
- meni
- olivat
- Mitä
- kun
- onko
- joka
- KUKA
- jonka
- tulee
- with
- työskentely
- maailman-
- pahin
- vuosi
- vielä
- Voit
- Sinun
- zephyrnet