Bezpieczeństwo biznesowe
Ślepe ufanie partnerom i dostawcom w kwestii ich stanu bezpieczeństwa nie jest trwałe – czas przejąć kontrolę poprzez skuteczne zarządzanie ryzykiem dostawców
Stycznia 25 2024 • , 5 minuta. czytać
Świat zbudowany jest na łańcuchach dostaw. Stanowią tkankę łączną ułatwiającą światowy handel i dobrobyt. Jednak te sieci nakładających się i wzajemnie powiązanych przedsiębiorstw są coraz bardziej złożone i nieprzejrzyste. Większość z nich wiąże się z dostarczaniem oprogramowania i usług cyfrowych lub przynajmniej jest w jakiś sposób uzależniona od interakcji online. To naraża je na ryzyko zakłóceń i kompromisów.
W szczególności małe i średnie przedsiębiorstwa mogą nie szukać proaktywnie rozwiązań lub nie mieć zasobów do zarządzania bezpieczeństwem w swoich łańcuchach dostaw. Ale na ślepo ufając swoim partnerom i dostawcom co do ich poziomu cyberbezpieczeństwa nie jest zrównoważony w obecnym klimacie. Rzeczywiście, już (minął) czas, aby poważnie podejść do zarządzania ryzykiem w łańcuchu dostaw.
Czym jest ryzyko łańcucha dostaw?
Zagrożenia cybernetyczne w łańcuchu dostaw mogą przybierać różne formy, np ransomware oraz kradzież danych aż do odmowy usługi (DDoS) i oszustwa. Mogą mieć wpływ na tradycyjnych dostawców, takich jak firmy świadczące usługi profesjonalne (np. prawnicy, księgowi) lub dostawcy oprogramowania biznesowego. Osoby atakujące mogą również atakować dostawców usług zarządzanych (MSP), ponieważ naruszając w ten sposób bezpieczeństwo jednej firmy, mogliby uzyskać dostęp do potencjalnie dużej liczby klientów końcowych. Badania z zeszłego roku ujawniło, że 90% dostawców usług MSP padło ofiarą cyberataku w ciągu ostatnich 18 miesięcy.
Oto niektóre z głównych rodzajów cyberataków na łańcuch dostaw i sposoby ich wystąpienia:
- Zhakowane zastrzeżone oprogramowanie: Cyberprzestępcy są coraz odważniejsi. W niektórych przypadkach udało im się znaleźć sposób na narażenie twórców oprogramowania na szwank i wstawienie złośliwego oprogramowania do kodu, który jest następnie dostarczany dalszym klientom. To właśnie wydarzyło się w Kampania dotycząca oprogramowania ransomware Kaseya. W nowszym przypadku popularne oprogramowanie do przesyłania plików MOVEit został naruszony przez lukę typu zero-day i dane skradzione setkom użytkowników korporacyjnych, co dotknęło miliony ich klientów. Tymczasem, kompromis oprogramowania komunikacyjnego 3CX przeszedł do historii jako pierwszy w historii publicznie udokumentowany przypadek jednego ataku na łańcuch dostaw prowadzącego do drugiego.
- Ataki na łańcuchy dostaw typu open source: Większość programistów korzysta z komponentów open source, aby przyspieszyć wprowadzanie swoich projektów oprogramowania na rynek. Jednak ugrupowania zagrażające o tym wiedzą i zaczęły umieszczać złośliwe oprogramowanie w komponentach i udostępniać je w popularnych repozytoriach. Jak twierdzi jeden z raportów liczba takich ataków wzrosła o 633% rok do roku. Podmioty zagrażające szybko wykorzystują luki w zabezpieczeniach kodu open source, których łatanie może być powolne dla niektórych użytkowników. Tak właśnie się stało, gdy w niemal wszechobecnym narzędziu wykryto krytyczny błąd znany jako Log4j.
- Podszywanie się pod dostawców w celu oszustwa: Wyrafinowane ataki tzw kompromis w e-mailach biznesowych (BEC) czasami oszuści podszywają się pod dostawców, aby nakłonić klienta do przesłania mu pieniędzy. Osoba atakująca zazwyczaj przejmuje konto e-mail należące do jednej lub drugiej strony, monitorując przepływ wiadomości e-mail do momentu wkroczenia i wysłania fałszywej faktury ze zmienionymi danymi bankowymi.
- Kradzież danych uwierzytelniających: Atakujący ukraść loginy dostawców w celu naruszenia bezpieczeństwa dostawcy lub jego klientów (do których sieci mogą mieć dostęp). To właśnie wydarzyło się podczas masowego naruszenia Targetu w 2013 roku, kiedy hakerzy ukradli dane uwierzytelniające jednego z dostawców HVAC sprzedawcy detalicznego.
- Kradzież danych: Wielu dostawców przechowuje wrażliwe dane swoich klientów, zwłaszcza firm takich jak kancelarie prawne, które mają dostęp do intymnych tajemnic korporacyjnych. Stanowią atrakcyjny cel dla cyberprzestępców poszukujących możliwych informacji zarabiać poprzez wymuszenia lub w inny sposób.
Jak oceniacie i minimalizujecie ryzyko dostawcy?
Niezależnie od konkretnego rodzaju ryzyka w łańcuchu dostaw wynik końcowy może być taki sam: szkody finansowe i reputacyjne, a także ryzyko procesów sądowych, przerw w działaniu, utraty sprzedaży i wściekłości klientów. Można jednak zarządzać tym ryzykiem, stosując się do najlepszych praktyk branżowych. Oto osiem pomysłów:
- Przeprowadź należytą staranność w przypadku każdego nowego dostawcy. Oznacza to sprawdzenie, czy ich program bezpieczeństwa jest zgodny z Twoimi oczekiwaniami i czy mają wdrożone podstawowe środki ochrony, wykrywania i reagowania na zagrożenia. W przypadku dostawców oprogramowania powinno to również obejmować to, czy posiadają program zarządzania podatnościami na zagrożenia i jaką mają reputację w zakresie jakości swoich produktów.
- Zarządzaj ryzykiem związanym z oprogramowaniem open source. Może to oznaczać wykorzystanie narzędzi do analizy składu oprogramowania (SCA) w celu uzyskania wglądu w składniki oprogramowania, a także ciągłe skanowanie pod kątem luk w zabezpieczeniach i złośliwego oprogramowania oraz szybkie łatanie wszelkich błędów. Upewnij się także, że zespoły programistów rozumieją znaczenie bezpieczeństwa już na etapie projektowania podczas opracowywania produktów.
- Przeprowadź przegląd ryzyka wszystkich dostawców. Zaczyna się od zrozumienia, kim są Twoi dostawcy, a następnie sprawdzenia, czy mają wdrożone podstawowe środki bezpieczeństwa. Powinno to rozszerzyć się na ich własne łańcuchy dostaw. Często przeprowadzaj audyty i w stosownych przypadkach sprawdzaj akredytację zgodnie ze standardami i przepisami branżowymi.
- Prowadź listę wszystkich zatwierdzonych dostawców i regularnie je aktualizuj zgodnie z wynikami audytu. Regularne audyty i aktualizacja listy dostawców umożliwią organizacjom przeprowadzenie dokładnej oceny ryzyka, zidentyfikowanie potencjalnych luk w zabezpieczeniach i zapewnienie, że dostawcy przestrzegają standardów cyberbezpieczeństwa.
- Ustal formalną politykę dla dostawców. Powinno to określać Twoje wymagania dotyczące ograniczania ryzyka dostawcy, w tym wszelkie umowy SLA, które muszą zostać spełnione. Jako taki służy jako podstawowy dokument określający oczekiwania, standardy i procedury, których dostawcy muszą przestrzegać, aby zapewnić bezpieczeństwo całego łańcucha dostaw.
- Zarządzaj ryzykiem dostępu dostawców. Egzekwuj zasadę najmniejszych przywilejów wśród dostawców, jeśli wymagają oni dostępu do sieci korporacyjnej. Można to wdrożyć jako część Podejście Zero Trust, w przypadku którego nie można ufać żadnym użytkownikom i urządzeniom, dopóki nie zostaną zweryfikowane, a ciągłe uwierzytelnianie i monitorowanie sieci stanowią dodatkową warstwę ograniczającą ryzyko.
- Opracuj plan reagowania na incydenty. W przypadku najgorszego scenariusza upewnij się, że masz dobrze przećwiczony plan, którego należy przestrzegać, aby powstrzymać zagrożenie, zanim będzie miało ono szansę wpłynąć na organizację. Obejmuje to sposób współpracy z zespołami pracującymi dla Twoich dostawców.
- Rozważ wdrożenie standardów branżowych. ISO 27001 i ISO 28000 mają wiele przydatnych sposobów na wykonanie niektórych z powyższych kroków w celu zminimalizowania ryzyka dostawcy.
Według nich w zeszłym roku w USA było o 40% więcej ataków na łańcuch dostaw niż ataków opartych na złośliwym oprogramowaniu jeden raport. Doprowadziły one do naruszeń, które dotknęły ponad 10 milionów osób. Nadszedł czas, aby odzyskać kontrolę poprzez skuteczniejsze zarządzanie ryzykiem dostawców.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- :ma
- :Jest
- :nie
- :Gdzie
- $ 10 mln
- 10
- 2013
- a
- Zdolny
- O nas
- powyżej
- przyśpieszyć
- dostęp
- Stosownie
- Konto
- akredytacja
- Osiągać
- aktorzy
- dodanie
- przylegać
- Po
- Wyrównuje
- Wszystkie kategorie
- wzdłuż
- również
- zmieniony
- wśród
- an
- analiza
- i
- Inne
- każdy
- właściwy
- zatwierdzony
- SĄ
- AS
- oszacować
- oceniając
- oceny
- At
- atakować
- Ataki
- próba
- atrakcyjny
- Audyt
- audytu
- Uwierzytelnianie
- dostępny
- z powrotem
- Bank
- Baseline
- BE
- BEC
- bo
- być
- zanim
- zaczął
- należący
- BEST
- Najlepsze praktyki
- na oślep
- naruszenie
- naruszenia
- Bug
- błędy
- wybudowany
- biznes
- biznes
- ale
- by
- Kampania
- CAN
- walizka
- Etui
- Kategoria
- łańcuch
- więzy
- szansa
- ZOBACZ
- kontrola
- klient
- klientów
- Klimat
- kod
- Komunikacja
- Firmy
- sukcesy firma
- kompleks
- składniki
- skład
- kompromis
- kompromis
- Prowadzenie
- zawierać
- ciągły
- kontrola
- Korporacyjny
- mógłby
- krytyczny
- Aktualny
- Klientów
- cyber
- Cyber atak
- Bezpieczeństwo cybernetyczne
- uszkodzić
- dane
- DDoS
- dostarczona
- Denial of Service
- wdrażane
- Wnętrze
- detale
- Wykrywanie
- Deweloper
- deweloperzy
- rozwijanie
- urządzenia
- cyfrowy
- usługi cyfrowe
- pracowitość
- Zakłócenie
- do
- dokument
- na dół
- z powodu
- e
- Efektywne
- osiem
- bądź
- umożliwiać
- zakończenia
- zapewnić
- zapewnienie
- szczególnie
- wydarzenie
- oczekiwania
- Wykorzystać
- rozciągać się
- dodatkowy
- ułatwia
- imitacja
- filet
- budżetowy
- Znajdź
- firmy
- pierwszy raz
- Przepływy
- obserwuj
- następujący
- W razie zamówieenia projektu
- formalny
- formularze
- znaleziono
- podstawowy
- oszustwo
- oszuści
- często
- od
- Wzrost
- otrzymać
- miejsce
- Globalne
- global Trade
- Go
- zdarzyć
- się
- Have
- tutaj
- uprowadzać
- historia
- W jaki sposób
- How To
- HTML
- HTTPS
- Setki
- pomysły
- identyfikacja
- if
- Rezultat
- wpływ
- wykonawczych
- znaczenie
- in
- incydent
- reakcja na incydent
- zawierać
- Włącznie z
- Zwiększać
- coraz bardziej
- rzeczywiście
- osób
- przemysł
- standardy przemysłowe
- Informacja
- Interakcje
- intymny
- najnowszych
- faktura
- angażować
- ISO
- IT
- Styczeń
- jpg
- Wiedzieć
- znany
- duży
- Nazwisko
- Ostatni rok
- Prawo
- kancelarie prawne
- Prawnicy
- warstwa
- prowadzący
- najmniej
- nawiązać łączność
- lubić
- Lista
- Katalogowany
- poszukuje
- stracił
- dużo
- Główny
- Dokonywanie
- malware
- zarządzanie
- zarządzane
- i konserwacjami
- zarządzający
- wiele
- rynek
- masywny
- Maksymalna szerokość
- Może..
- oznaczać
- znaczy
- W międzyczasie
- środków
- spełnione
- może
- milion
- miliony
- min
- Złagodzić
- łagodzenie
- łagodzenie
- pieniądze
- monitorowanie
- miesięcy
- jeszcze
- większość
- musi
- sieć
- sieci
- Nowości
- numer
- of
- on
- ONE
- Online
- nieprzezroczysty
- koncepcja
- open source
- operacyjny
- or
- zamówienie
- organizacja
- organizacji
- Inne
- na zewnątrz
- Awarie
- zarys
- obrysowywanie
- koniec
- ogólny
- własny
- część
- szczególny
- wzmacniacz
- przyjęcie
- Przeszłość
- Łata
- łatanie
- PHIL
- Miejsce
- krok po kroku
- plato
- Analiza danych Platona
- PlatoDane
- polityka
- Popularny
- możliwy
- potencjał
- potencjalnie
- praktyki
- poprzedni
- zasada
- przywilej
- procedury
- Produkty
- profesjonalny
- Program
- projektowanie
- własność
- dobrobyt
- ochrona
- dostawców
- publicznie
- Stawia
- jakość
- Szybki
- ransomware
- niedawny
- w sprawie
- regularny
- regularnie
- regulamin
- raport
- reprezentować
- reputacja
- wymagać
- wymagania
- Zasoby
- odpowiedź
- dalsze
- Efekt
- Ujawnił
- przeglądu
- prawo
- Ryzyko
- Zarządzanie ryzykiem
- ryzyko
- sole
- taki sam
- skanowanie
- scenariusz
- tajniki
- bezpieczeństwo
- Środki bezpieczeństwa
- wysłać
- wrażliwy
- poważny
- służy
- usługa
- usługodawcy
- Usługi
- powinien
- pojedynczy
- powolny
- Tworzenie
- komponenty oprogramowania
- Software Developers
- kilka
- czasami
- wyrafinowany
- Źródło
- Kod źródłowy
- specyficzny
- standardy
- rozpocznie
- Ewolucja krok po kroku
- Cel
- Ukradłem
- skradziony
- sklep
- Następnie
- taki
- cierpiał
- dostawca
- dostawcy
- Dostawa
- łańcuch dostaw
- Dostarczać łańcuchy
- zrównoważone
- Brać
- cel
- Zespoły
- niż
- że
- Połączenia
- kradzież
- ich
- Im
- następnie
- Tam.
- Te
- one
- to
- groźba
- podmioty grożące
- Przez
- czas
- do
- narzędzie
- narzędzia
- handel
- tradycyjny
- przenieść
- Zaufaj
- ufny
- rodzaj
- typy
- zrozumieć
- zrozumienie
- aż do
- Aktualizacja
- aktualizowanie
- us
- posługiwać się
- użyteczny
- Użytkownicy
- za pomocą
- zazwyczaj
- sprzedawców
- zweryfikowana
- przez
- widoczność
- Luki w zabezpieczeniach
- wrażliwość
- była
- Droga..
- sposoby
- poszedł
- były
- Co
- jeśli chodzi o komunikację i motywację
- czy
- który
- KIM
- którego
- będzie
- w
- pracujący
- świat
- najgorszy
- rok
- jeszcze
- You
- Twój
- zefirnet