המהפכה התעשייתית הרביעית יצרה עולם דיגיטלי חדש עבור יצרנים - כזה שדורש קישוריות, זריזות ויעילות יותר מאי פעם. כדי לעמוד בקצב הדרישות העולמיות, יצרנים הפכו למפעלים חכמים. כעת, פעולות קריטיות כבר לא מסתמכות רק על יישומים מדור קודם ואבטחה מבוססת היקפית, אלא במקום זאת, רשתות מורכבות של תוכנות, תחנות עבודה והתקנים, בכמה מיקומים שונים, אליהם ניגשו מאות אנשים.
אבל עם המודרניזציה באו סיכונים בלתי צפויים. ככל שארגונים עובדים עם יותר צדדים שלישיים כדי לשפר את שיתוף הפעולה בין עסקים, הם מכניסים אי ודאות לסביבתם. ואם גישת צד שלישי אינה מאובטחת או מנוהלת כראוי, אי ודאות עלולה להפוך לפגיעות.
נאבקים עם אבטחת צד שלישי
עם מספר ספקים המחוברים לרשת, אי אפשר לדעת בדיוק מי ניגש לאיזה מידע ללא פתרון מתאים. ולמרבה הצער, יצרנים רבים, במיוחד קטנים עד בינוניים, עדיין מנהלים את גישת הספקים בדרך הישנה: באופן ידני. אבל זה לא בהכרח עובד. למעשה, על פי דו"ח פונמון לאחרונה, 70% מהארגונים ציינו שהם חוו הפרה של צד שלישי שנבעה מהענקת גישה רבה מדי.
זה לא פוסח על האקרים הרואים בתשתית קריטית יעד מרכזי. יצרנים המייצרים דלק, מזון או מכונות נוטים יותר לשלם כופר גבוה כדי להחזיר את הפעילות במהירות.
מכיוון שליצרנים רבים עדיין יש סביבות מורכבות המורכבות מיישומים מדור קודם וטכנולוגיה תפעולית (OT), זה יכול להיות אתגר להבטיח ולאמת כל גישה למערכות אלו. ללא פתרון המספק ניהול חלק ונראות של גישה לכל הטכנולוגיה הדרושה, הסיכונים של קישוריות עלולים לעלות על היתרונות.
סיכונים של ניהול ספק לקוי
שקול זאת: אתה נותן את המפתח לכספת שלך לחבר מהימן כדי לשים בה משהו. כשהם שמים את החפץ הזה בכספת, הם גם גונבים את הכסף שהיה לך בפנים. או שהם מאבדים את המפתחות לכספת שלך ומישהו אחר גונב ממנה.
זה הסיכון שמגיע עם ניהול לקוי של צד שלישי - וההשלכות יכולות להיות הרסניות. הידוע לשמצה התקפת SolarWinds שגרם לאלפי לקוחות להוריד תוכנה פגומה, הראה לנו עד כמה חיבורים של צד שלישי יכולים להיות נפוצים וכמה זמן הם יכולים להימשך ללא ניהול מתאים. שלא לדבר על הנזק המוניטין שנגרם למותג לאחר התקרית. יכולות להיות גם השלכות כספיות, אם האקרים היו פורסים תוכנת כופר דרך הסוכן, זה היה יכול להוביל לתשלום גבוה.
יש גם את הסיכון התפעולי של הפרת צד שלישי. ראינו טויוטה הפסקת פעילות מוקדם יותר השנה לאחר שאחד מיצרני החוזה חווה הפרה. נוסף על כך, יש גם השלכות משפטיות ורגולטוריות. אם ארגון לא ינקוט צעדים כדי לבדוק את הצדדים השלישיים שלו כראוי, הם עלולים לחשוף את עצמם לסיכוני ציות וחששות אבטחה.
אחרון דוח פונמון גילה שארגונים מסתמכים כעת יותר על צדדים שלישיים כדי לעשות עסקים, בהשוואה לשנים קודמות. אבל ההתקפות נמצאות במגמת עלייה, כאשר 54% מהארגונים שנסקרו דיווחו על מתקפת סייבר של צד שלישי ב-12 החודשים האחרונים. האיומים האלה לא נעלמים. ככל שהייצור חובק יותר צדדים שלישיים, הם צריכים לשקול ניהול גישה מועדף על ידי ספקים.
אבטחת צדדים שלישיים באמצעות ניהול גישה מועדף
למרות שהאיומים הללו נפוצים, לא בלתי אפשרי למנוע אותם. הדרך היעילה ביותר לעשות זאת היא באמצעות פתרון אוטומטי כמו ניהול גישה עם הרשאות ספקים. הסתמכות רבה יותר על ספקים ויותר התקפות של צד שלישי דורשות יישום שיטות האבטחה הטובות הבאות:
- מלאי של כל הספקים וצדדים שלישיים: לפני שארגונים יכולים ליישם פתרון ניהול גישה מועדף, הם צריכים לבצע ביקורת יסודית על מי ניגש לאיזה מידע, יישומים ונתונים במערכות שלהם. אמנם נתת כניסה אחת לספק, אבל זה יכול לשמש מאות נציגים. ודא שאתה מעדכן באופן קבוע את מלאי הספקים כדי לקבל תצוגה ברורה יותר לגבי הגישה.
- צמצם את התנועה עם בקרות הגישה: עם משטח התקפה רחב, ניהול גישה מועדף נחוץ לספקים כדי למנוע ממשתמש לא מורשה לעבור לרוחב ברשת. הוא מספק גישה לאישורים דרך כספת, כך שלמשתמש יש הרשאה לגשת למשאבים הדרושים למשימה הספציפית שלו רק כאשר הוא זקוק לה.
- עקוב ובדוק את כל הגישה המוסמכת להפעלה: השתמש בפתרון אוטומטי המאפשר ניטור והקלטת הפעלות של כל הגישה המוסמכת. טכנולוגיה השומרת יומני הקשות ומציינת חריגות או התנהגות חשודה מועילה, אך רק אם הן נבדקות באופן קבוע.
לבדו, פתרון ניהול גישה מועדף לספק לא יספיק כדי להגן על כל הסביבה שלך. אבל לצד עקרונות חזקים אחרים, כמו אפס אמון, זה יכול לעשות הבדל עצום בהפחתת הסיכונים של צד שלישי שעומדים בפני הייצור.
על המחבר
ווס רייט הוא קצין הטכנולוגיה הראשי ב- Imprivata. ווס מביאה ניסיון של יותר מ-20 שנה עם ספקי שירותי בריאות, מנהיגות IT ואבטחה.
לפני שהצטרף לאימפריוטה, ווס היה ה-CTO ב-Sutter Health, שם היה אחראי על אסטרטגיות שירותים טכניים ופעילויות תפעוליות עבור מערכת 26 בתי החולים. ווס היה סגן נשיא/CIO בכיר בבית החולים לילדים בסיאטל ושימש כראש הסגל של גנרל שלושה כוכבים בחיל האוויר האמריקאי.
ווס הוא בעל תואר ראשון בעסקים וניהול מאוניברסיטת מרילנד וקיבל תואר שני במנהל עסקים מאוניברסיטת ניו מקסיקו. ווס חבר בקבוצת העבודה CHIME & AEHIT Virtual Health Policy.
