Poslovna varnost
Slepo zaupanje vašim partnerjem in dobaviteljem glede njihove varnosti ni trajnostno – čas je, da prevzamete nadzor z učinkovitim obvladovanjem tveganja dobaviteljev
Januar 25 2024 • , 5 min. prebrati
Svet je zgrajen na dobavnih verigah. So vezivno tkivo, ki omogoča svetovno trgovino in blaginjo. Toda ta omrežja prekrivajočih se in medsebojno povezanih podjetij so vedno bolj zapletena in nepregledna. Večina jih vključuje dobavo programske opreme in digitalnih storitev ali pa so vsaj na nek način odvisni od spletnih interakcij. To jih izpostavlja nevarnosti motenj in kompromisov.
Zlasti mala in srednje velika podjetja morda ne iščejo proaktivno ali nimajo sredstev za upravljanje varnosti v svojih dobavnih verigah. Ampak na slepo zaupanje vaših partnerjev in dobaviteljev glede njihove kibernetske varnosti v trenutnem podnebju ni vzdržen. Pravzaprav je (pretekli) čas, da se resno lotimo obvladovanja tveganj v dobavni verigi.
Kaj je tveganje dobavne verige?
Kibernetska tveganja v dobavni verigi so lahko v različnih oblikah, od izsiljevalska od kraje podatkov do zavrnitve storitve (DDoS) in goljufij. Lahko vplivajo na tradicionalne dobavitelje, kot so podjetja za strokovne storitve (npr. odvetniki, računovodje) ali prodajalci poslovne programske opreme. Napadalci se lahko lotijo tudi ponudnikov upravljanih storitev (MSP), saj lahko z ogrožanjem enega samega podjetja na ta način pridobijo dostop do potencialno velikega števila podjetij strank na nižji stopnji. Raziskava iz lanskega leta je razkrilo, da je 90 % MSP-jev v zadnjih 18 mesecih utrpelo kibernetski napad.
Tukaj je nekaj glavnih vrst kibernetskih napadov v dobavni verigi in kako se zgodijo:
- Ogrožena lastniška programska oprema: Kibernetski kriminalci postajajo drznejši. V nekaterih primerih jim je uspelo najti način, kako ogroziti razvijalce programske opreme in vstaviti zlonamerno programsko opremo v kodo, ki je nato dostavljena nadaljnjim strankam. To se je zgodilo v Kampanja z izsiljevalsko programsko opremo Kaseya. V novejšem primeru priljubljena programska oprema za prenos datotek MOVEit je bil ogrožen z ranljivostjo ničelnega dne in podatki, ukradenimi stotinam poslovnih uporabnikov, kar vpliva na milijone njihovih strank. Medtem je ogrožanje komunikacijske programske opreme 3CX se je zapisal v zgodovino kot prvi javno dokumentiran incident enega napada na dobavno verigo, ki vodi do drugega.
- Napadi na odprtokodne dobavne verige: Večina razvijalcev uporablja odprtokodne komponente za pospešitev trženja svojih programskih projektov. Toda akterji groženj se tega zavedajo in so začeli vstavljati zlonamerno programsko opremo v komponente in jih dajati na voljo v priljubljenih repozitorijih. Eno poročilo trdi število takšnih napadov se je medletno povečalo za 633 %. Akterji groženj prav tako hitro izkoristijo ranljivosti v odprtokodni kodi, ki jih nekateri uporabniki morda počasno popravijo. To se je zgodilo, ko so v skoraj vseprisotnem orodju našli kritično napako znan kot Log4j.
- Lažno predstavljanje dobaviteljev za goljufije: Sofisticirani napadi, znani kot kompromis s poslovno e-pošto (BEC) včasih vključujejo goljufe, ki se lažno predstavljajo kot dobavitelji, da bi pretentali stranko, da jim nakaže denar. Napadalec običajno ugrabi e-poštni račun, ki pripada eni ali drugi stranki, in spremlja pretok e-pošte, dokler ni čas, da vskoči in pošlje ponarejen račun s spremenjenimi bančnimi podatki.
- Kraja poverilnice: Napadalci ukrasti prijave dobaviteljev v poskusu kršitve dobavitelja ali njihovih strank (do katerih omrežij imajo morda dostop). To se je zgodilo v množični kršitvi Target leta 2013, ko hekerji so ukradli poverilnice enega od trgovčevih dobaviteljev HVAC.
- Kraja podatkov: Mnogi dobavitelji hranijo občutljive podatke o svojih strankah, zlasti podjetja, kot so odvetniške družbe, ki so seznanjene z intimnimi skrivnostmi podjetij. Predstavljajo privlačno tarčo za akterje groženj, ki iščejo informacije, ki jih lahko monetizirati z izsiljevanjem ali na drug način.
Kako ocenjujete in zmanjšujete tveganje dobavitelja?
Ne glede na specifično vrsto tveganja dobavne verige je lahko končni rezultat enak: finančna škoda in škoda za ugled ter tveganje tožb, izpadov delovanja, izgubljene prodaje in jeznih strank. Kljub temu je mogoče ta tveganja obvladovati z upoštevanjem nekaterih najboljših praks v industriji. Tukaj je osem idej:
- Izvedite skrbni pregled vsakega novega dobavitelja. To pomeni, da preverite, ali je njihov varnostni program v skladu z vašimi pričakovanji, in da imajo vzpostavljene osnovne ukrepe za zaščito pred grožnjami, odkrivanje in odziv. Za dobavitelje programske opreme bi moralo veljati tudi, ali imajo vzpostavljen program za upravljanje ranljivosti in kakšen je njihov ugled glede kakovosti njihovih izdelkov.
- Upravljajte odprtokodna tveganja. To lahko pomeni uporabo orodij za analizo sestave programske opreme (SCA) za pridobitev vpogleda v komponente programske opreme, poleg stalnega skeniranja ranljivosti in zlonamerne programske opreme ter takojšnjega popravka morebitnih napak. Zagotovite tudi, da ekipe razvijalcev pri razvoju izdelkov razumejo pomen varnosti že pri načrtovanju.
- Izvedite pregled tveganja vseh dobaviteljev. To se začne z razumevanjem, kdo so vaši dobavitelji, in nato s preverjanjem, ali imajo vzpostavljene osnovne varnostne ukrepe. To naj bi se razširilo na njihove lastne dobavne verige. Pogosto preverjajte in preverite akreditacijo v skladu z industrijskimi standardi in predpisi, kjer je to primerno.
- Hranite seznam vseh svojih odobrenih dobaviteljev in to redno posodabljajte glede na rezultate vaše revizije. Redno preverjanje in posodabljanje seznama dobaviteljev bo organizacijam omogočilo izvajanje temeljitih ocen tveganja, prepoznavanje potencialnih ranljivosti in zagotavljanje, da dobavitelji upoštevajo standarde kibernetske varnosti.
- Vzpostavite uradno politiko za dobavitelje. To bi moralo opisati vaše zahteve za zmanjšanje tveganja dobavitelja, vključno s pogodbami o ravni storitev, ki jih je treba izpolniti. Kot tak služi kot temeljni dokument, ki opisuje pričakovanja, standarde in postopke, ki se jih morajo dobavitelji držati, da zagotovijo varnost celotne dobavne verige.
- Upravljajte tveganja dostopa dobavitelja. Uveljavite načelo najmanjših privilegijev med dobavitelji, če potrebujejo dostop do omrežja podjetja. To bi lahko uporabili kot del a Pristop ničelnega zaupanja, kjer so vsi uporabniki in naprave nezaupljivi, dokler niso preverjeni, z neprekinjenim preverjanjem pristnosti in nadzorom omrežja pa dodaja dodatno plast zmanjšanja tveganja.
- Razvijte načrt odzivanja na incident. V primeru najslabšega možnega scenarija poskrbite, da boste imeli dobro vajen načrt, ki mu boste sledili, da boste zajezili grožnjo, preden bo imela možnost vplivati na organizacijo. To bo vključevalo, kako vzpostaviti stik z ekipami, ki delajo za vaše dobavitelje.
- Razmislite o izvajanju industrijskih standardov. ISO 27001 in ISO 28000 imajo veliko uporabnih načinov za doseganje nekaterih od zgoraj navedenih korakov, da bi čim bolj zmanjšali tveganje dobavitelja.
V ZDA je bilo lani 40 % več napadov na dobavno verigo kot napadov na podlagi zlonamerne programske opreme eno poročilo. Posledica so bile kršitve, ki so prizadele več kot 10 milijonov posameznikov. Čas je, da ponovno prevzamemo nadzor z učinkovitejšim obvladovanjem tveganj dobaviteljev.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- :ima
- : je
- :ne
- :kje
- $ 10 milijonov
- 10
- 2013
- a
- Sposobna
- O meni
- nad
- pospeši
- dostop
- Po
- Račun
- akreditacijo
- Doseči
- akterji
- dodajanje
- držijo
- po
- Poravnava
- vsi
- skupaj
- Prav tako
- spremenila
- med
- an
- Analiza
- in
- Še ena
- kaj
- primerno
- odobren
- SE
- AS
- oceniti
- Ocenjevanje
- Ocene
- At
- napad
- Napadi
- poskus
- privlačen
- Revizija
- revidiranje
- Preverjanje pristnosti
- Na voljo
- nazaj
- Banka
- Izhodišče
- BE
- BEC
- ker
- bilo
- pred
- začel
- pripadnosti
- BEST
- najboljše prakse
- slepo
- kršitev
- kršitve
- Bug
- hrošči
- zgrajena
- poslovni
- podjetja
- vendar
- by
- Akcija
- CAN
- primeru
- primeri
- Kategorija
- verige
- verige
- priložnost
- preveriti
- preverjanje
- stranke
- stranke
- Podnebne
- Koda
- Komunikacija
- Podjetja
- podjetje
- kompleksna
- deli
- sestava
- Kompromis
- ogrozili
- Ravnanje
- vsebujejo
- neprekinjeno
- nadzor
- Corporate
- bi
- kritično
- Trenutna
- Stranke, ki so
- cyber
- Kibernetski napad
- Cybersecurity
- škoda
- datum
- DDoS
- dostavi
- Denial of Service
- razporejeni
- Oblikovanje
- Podrobnosti
- Odkrivanje
- Razvojni
- Razvijalci
- razvoju
- naprave
- digitalni
- digitalnih storitev
- skrbnosti
- Motnje
- do
- dokument
- navzdol
- 2
- e
- Učinkovito
- 8
- bodisi
- E-naslov
- omogočajo
- konec
- zagotovitev
- zagotoviti
- zlasti
- Event
- pričakovanja
- Izkoristite
- razširiti
- dodatna
- olajša
- ponaredek
- file
- finančna
- Najdi
- podjetja
- prvič
- Tokovi
- sledi
- po
- za
- formalno
- Obrazci
- je pokazala,
- temeljno
- goljufija
- goljufi
- pogosto
- iz
- Gain
- dobili
- pridobivanje
- Globalno
- globalna trgovina
- Go
- se zgodi
- se je zgodilo
- Imajo
- tukaj
- ugrabitvijo
- zgodovina
- Kako
- Kako
- HTML
- HTTPS
- Stotine
- Ideje
- identifikacijo
- if
- vpliv
- udarne
- izvajanja
- Pomembnost
- in
- nesreča
- odziv na incident
- vključujejo
- Vključno
- Povečajte
- vedno
- prav zares
- posamezniki
- Industrija
- industrijski standardi
- Podatki
- interakcije
- intimni
- v
- računa
- vključujejo
- ISO
- IT
- John
- jpg
- Vedite
- znano
- velika
- Zadnja
- Lansko leto
- zakon
- odvetniška podjetja
- odvetniki
- plast
- vodi
- vsaj
- povezavo
- kot
- Seznam
- Navedeno
- si
- izgubil
- veliko
- Glavne
- Izdelava
- zlonamerna programska oprema
- upravljanje
- upravlja
- upravljanje
- upravljanje
- več
- Tržna
- ogromen
- max širine
- Maj ..
- pomeni
- pomeni
- Medtem
- ukrepe
- pol
- morda
- milijonov
- milijoni
- minut
- Omiliti
- ublažitev
- ublažitev
- Denar
- spremljanje
- mesecev
- več
- Najbolj
- morajo
- mreža
- omrežij
- Novo
- Številka
- of
- on
- ONE
- na spletu
- motno
- odprite
- open source
- operativno
- or
- Da
- Organizacija
- organizacije
- Ostalo
- ven
- Izpusti
- oris
- oris
- več
- Splošni
- lastne
- del
- zlasti
- partnerji
- zabava
- preteklosti
- Patch
- Zaplata
- FILA
- Kraj
- Načrt
- platon
- Platonova podatkovna inteligenca
- PlatoData
- politika
- Popular
- mogoče
- potencial
- potencialno
- vaje
- prejšnja
- Načelo
- privilegij
- Postopki
- Izdelki
- strokovni
- Program
- projekti
- lastniško
- blaginja
- zaščita
- ponudniki
- javno
- Postavlja
- kakovost
- Hitri
- izsiljevalska
- nedavno
- o
- redni
- redno
- predpisi
- poročilo
- predstavljajo
- Ugled
- zahteva
- Zahteve
- viri
- Odgovor
- povzroči
- Rezultati
- Razkrito
- pregleda
- Pravica
- Tveganje
- upravljanje s tveganji
- tveganja
- prodaja
- Enako
- skeniranje
- Scenarij
- skrivnosti
- varnost
- Varnostni ukrepi
- pošljite
- občutljiva
- resno
- služi
- Storitev
- ponudnikov storitev
- Storitve
- shouldnt
- sam
- počasi
- Software
- komponente programske opreme
- Razvijalci programske opreme
- nekaj
- Včasih
- prefinjeno
- vir
- Izvorna koda
- specifična
- standardi
- začne
- Korak
- Koraki
- ukradel
- ukradeno
- trgovina
- Kasneje
- taka
- trpel
- dobavitelj
- dobavitelji
- dobavi
- dobavne verige
- Napajalne verige
- trajnostno
- Bodite
- ciljna
- Skupine
- kot
- da
- O
- Kraja
- njihove
- Njih
- POTEM
- Tukaj.
- te
- jih
- ta
- Grožnja
- akterji groženj
- skozi
- čas
- do
- orodje
- orodja
- trgovini
- tradicionalna
- prenos
- Zaupajte
- zaupanja vreden
- tip
- Vrste
- razumeli
- razumevanje
- dokler
- Nadgradnja
- posodabljanje
- us
- uporaba
- koristno
- Uporabniki
- uporabo
- navadno
- prodajalci
- preverjeno
- preko
- vidljivost
- Ranljivosti
- ranljivost
- je
- način..
- načini
- šla
- so bili
- Kaj
- kdaj
- ali
- ki
- WHO
- katerih
- bo
- z
- deluje
- svet
- Klobase
- leto
- še
- Vi
- Vaša rutina za
- zefirnet