Affärssäkerhet
Att blint lita på dina partners och leverantörer om deras säkerhetsställning är inte hållbart – det är dags att ta kontroll genom effektiv leverantörsriskhantering
25 Jan 2024 • , 5 min. läsa
Världen bygger på leveranskedjor. De är bindväven som underlättar global handel och välstånd. Men dessa nätverk av överlappande och inbördes relaterade företag blir allt mer komplexa och ogenomskinliga. De flesta involverar leverans av mjukvara och digitala tjänster, eller är åtminstone på något sätt beroende av onlineinteraktioner. Det utsätter dem för risk för störningar och kompromisser.
Särskilt små och medelstora företag kanske inte proaktivt letar efter, eller har resurserna, för att hantera säkerheten i sina leveranskedjor. Men blint lita på dina partners och leverantörer om deras cybersäkerhetsställning är inte hållbart i dagens klimat. Det är faktiskt (förbi) dags att göra allvar med att hantera risker i leveranskedjan.
Vad är risk för leveranskedjan?
Cyberrisker i försörjningskedjan kan ta många former, från Ransomware och datastöld till DDoS (denial of service) och bedrägeri. De kan påverka traditionella leverantörer som professionella tjänsteföretag (t.ex. advokater, revisorer) eller leverantörer av affärsprogramvara. Angripare kan också gå efter hanterade tjänsteleverantörer (MSP), eftersom genom att kompromissa med ett enda företag på detta sätt kan de få tillgång till ett potentiellt stort antal nedströmsklientföretag. Forskning från förra året avslöjade att 90 % av MSP:erna drabbats av en cyberattack under de föregående 18 månaderna.
Här är några av huvudtyperna av cyberattacker i leveranskedjan och hur de uppstår:
- Komprometterad proprietär programvara: Cyberkriminella blir djärvare. I vissa fall har de kunnat hitta ett sätt att äventyra mjukvaruutvecklare och infoga skadlig kod i kod som sedan levereras till nedströmskunder. Detta är vad som hände i Kaseya ransomware-kampanj. I ett senare fall, populär filöverföringsprogram MOVEit komprometterades av en nolldagarssårbarhet och data stulen från hundratals företagsanvändare, vilket påverkar miljontals av deras kunder. Under tiden har kompromiss med 3CX kommunikationsprogramvara gick till historien som den första offentligt dokumenterade incidenten av en attack i leveranskedjan som ledde till en annan.
- Attacker mot försörjningskedjor med öppen källkod: De flesta utvecklare använder komponenter med öppen källkod för att påskynda tiden till marknaden för sina programvaruprojekt. Men hotaktörer vet detta och har börjat infoga skadlig programvara i komponenter och göra dem tillgängliga i populära arkiv. En rapport hävdar det har skett en ökning med 633 % på årsbasis av sådana attacker. Hotaktörer är också snabba att utnyttja sårbarheter i öppen källkod som vissa användare kan vara långsamma med att korrigera. Detta är vad som hände när en kritisk bugg hittades i ett nästan allestädes närvarande verktyg känd som Log4j.
- Utger sig att vara leverantörer för bedrägeri: Sofistikerade attacker kända som företags e-postkompromiss (BEC) involverar ibland bedragare som utger sig för att vara leverantörer för att lura en klient att överföra pengar till dem. Angriparen kommer vanligtvis att kapa ett e-postkonto som tillhör den ena eller andra parten, övervaka e-postflöden tills det är dags att gå in och skicka en falsk faktura med ändrade bankuppgifter.
- Autentiseringsstöld: angripare stjäla inloggningarna leverantörer i ett försök att bryta mot antingen leverantören eller deras kunder (vars nätverk de kan ha tillgång till). Detta är vad som hände i den massiva målöverträdelsen 2013 när hackare stal inloggningsuppgifterna av en av återförsäljarens VVS-leverantörer.
- Datastöld: Många leverantörer lagrar känsliga uppgifter om sina kunder, särskilt företag som advokatbyråer som är insatta i intima företagshemligheter. De utgör ett attraktivt mål för hotaktörer som letar efter information de kan tjäna pengar via utpressning eller andra medel.
Hur bedömer och minskar du leverantörsrisker?
Oavsett vilken typ av risk för försörjningskedjan som är specifika, kan slutresultatet bli detsamma: ekonomisk skada och skada på ryktet och risken för stämningar, driftsavbrott, förlorad försäljning och arga kunder. Ändå är det möjligt att hantera dessa risker genom att följa vissa branschpraxis. Här är åtta idéer:
- Utför due diligence på alla nya leverantörer. Det innebär att kontrollera att deras säkerhetsprogram överensstämmer med dina förväntningar och att de har baslinjeåtgärder på plats för hotskydd, upptäckt och svar. För mjukvaruleverantörer bör det också sträcka sig till om de har ett program för sårbarhetshantering på plats och vilket rykte de har när det gäller kvaliteten på sina produkter.
- Hantera risker med öppen källkod. Detta kan innebära att man använder verktyg för analys av mjukvarusammansättning (SCA) för att få insyn i programvarukomponenter, tillsammans med kontinuerlig genomsökning efter sårbarheter och skadlig programvara och snabb patchning av eventuella buggar. Se också till att utvecklarteam förstår vikten av designsäkerhet när de utvecklar produkter.
- Gör en riskgranskning av alla leverantörer. Detta börjar med att förstå vilka dina leverantörer är och sedan kontrollera om de har grundläggande säkerhetsåtgärder på plats. Detta bör sträcka sig till deras egna leveranskedjor. Revidera ofta och kontrollera om det är ackrediterat med branschstandarder och föreskrifter där så är lämpligt.
- Håll en lista över alla dina godkända leverantörer och uppdatera detta regelbundet enligt resultatet av din revision. Regelbunden revision och uppdatering av leverantörslistan kommer att göra det möjligt för organisationer att genomföra grundliga riskbedömningar, identifiera potentiella sårbarheter och säkerställa att leverantörer följer cybersäkerhetsstandarder.
- Upprätta en formell policy för leverantörer. Detta bör beskriva dina krav för att minska leverantörsrisker, inklusive eventuella SLA:er som måste uppfyllas. Som sådan fungerar det som ett grundläggande dokument som beskriver förväntningar, standarder och procedurer som leverantörer måste följa för att säkerställa säkerheten i den övergripande leveranskedjan.
- Hantera risker för leverantörsåtkomst. Genomför en princip om minsta privilegium bland leverantörer om de behöver tillgång till företagets nätverk. Detta skulle kunna distribueras som en del av en Zero Trust tillvägagångssätt, där alla användare och enheter inte är betrodda tills de har verifierats, med kontinuerlig autentisering och nätverksövervakning som lägger till ett extra lager av riskreducering.
- Utveckla en åtgärdsplan för incidenter. I händelse av ett värsta scenario, se till att du har en väl inövad plan att följa för att begränsa hotet innan det har en chans att påverka organisationen. Detta kommer att inkludera hur du kontaktar team som arbetar för dina leverantörer.
- Överväg att implementera industristandarder. ISO 27001 och ISO 28000 har många användbara sätt att uppnå några av stegen som anges ovan för att minimera leverantörsrisken.
I USA förra året fanns det 40 % fler attacker i leveranskedjan än attacker baserade på skadlig programvara, enligt en rapport. De resulterade i överträdelser som drabbade över 10 miljoner individer. Det är dags att ta tillbaka kontrollen genom effektivare hantering av leverantörsrisk.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- : har
- :är
- :inte
- :var
- $ 10 miljoner
- 10
- 2013
- a
- Able
- Om Oss
- ovan
- accelerera
- tillgång
- Enligt
- Konto
- ackreditering
- Uppnå
- aktörer
- tillsats
- anslutit sig
- Efter
- Justerar
- Alla
- vid sidan av
- också
- förändrad
- bland
- an
- analys
- och
- Annan
- vilken som helst
- lämpligt
- godkänd
- ÄR
- AS
- bedöma
- bedöma
- bedömningar
- At
- attackera
- Attacker
- försök
- attraktiv
- revision
- revision
- Autentisering
- tillgänglig
- tillbaka
- Bank
- Baslinje
- BE
- BEC
- därför att
- varit
- innan
- börjat
- som tillhör
- BÄST
- bästa praxis
- blint
- brott
- överträdelser
- Bug
- fel
- byggt
- företag
- företag
- men
- by
- Kampanj
- KAN
- Vid
- fall
- Kategori
- kedja
- kedjor
- chans
- ta
- kontroll
- klient
- klienter
- Klimat
- koda
- Kommunikation
- Företag
- företag
- komplex
- komponenter
- sammansättning
- kompromiss
- komprometterande
- Genomför
- innehålla
- kontinuerlig
- kontroll
- Företag
- kunde
- kritisk
- Aktuella
- Kunder
- cyber
- Cyber attack
- Cybersäkerhet
- skada
- datum
- DDoS
- levereras
- Denial of Service
- utplacerade
- Designa
- detaljer
- Detektering
- Utvecklare
- utvecklare
- utveckla
- enheter
- digital
- digitala tjänster
- flit
- Störningar
- do
- dokumentera
- ner
- grund
- e
- Effektiv
- åtta
- antingen
- möjliggöra
- änden
- säkerställa
- säkerställa
- speciellt
- händelse
- förväntningar
- Exploit
- förlänga
- extra
- underlättar
- fejka
- Fil
- finansiella
- hitta
- företag
- första någonsin
- flöden
- följer
- efter
- För
- formell
- former
- hittade
- grundläggande
- bedrägeri
- bedragare
- ofta
- från
- Få
- skaffa sig
- få
- Välgörenhet
- världshandel
- Go
- hända
- hänt
- Har
- här.
- kapa
- historia
- Hur ser din drömresa ut
- How To
- html
- HTTPS
- Hundratals
- idéer
- identifiera
- if
- Inverkan
- slag
- genomföra
- vikt
- in
- incident
- incidentrespons
- innefattar
- Inklusive
- Öka
- alltmer
- ja
- individer
- industrin
- industristandarder
- informationen
- interaktioner
- intim
- in
- faktura
- engagera
- ISO
- IT
- jan
- jpg
- Vet
- känd
- Large
- Efternamn
- Förra året
- Lag
- advokatbyrå
- advokater
- lager
- ledande
- t minst
- kontakt
- tycka om
- Lista
- Noterade
- du letar
- förlorat
- Föremål
- Huvudsida
- Framställning
- malware
- hantera
- förvaltade
- ledning
- hantera
- många
- marknad
- massiv
- max-bredd
- Maj..
- betyda
- betyder
- Samtidigt
- åtgärder
- träffade
- kanske
- miljon
- miljoner
- min
- Mildra
- förmildrande
- begränsning
- pengar
- övervakning
- månader
- mer
- mest
- måste
- nät
- nätverk
- Nya
- antal
- of
- on
- ONE
- nätet
- opak
- öppet
- öppen källkod
- operativa
- or
- beställa
- organisation
- organisationer
- Övriga
- ut
- avbrott
- översikt
- Disposition
- över
- övergripande
- egen
- del
- särskilt
- partner
- parti
- Tidigare
- Lappa
- Patching
- PHIL
- Plats
- Planen
- plato
- Platon Data Intelligence
- PlatonData
- policy
- Populära
- möjlig
- potentiell
- potentiellt
- praxis
- föregående
- Principen
- privilegium
- förfaranden
- Produkter
- professionell
- Program
- projekt
- proprietary
- välstånd
- skydd
- leverantörer
- publicly
- Puts
- kvalitet
- Snabbt
- Ransomware
- senaste
- om
- regelbunden
- regelbundet
- föreskrifter
- rapport
- representerar
- rykte
- kräver
- Krav
- Resurser
- respons
- resultera
- Resultat
- avslöjade
- översyn
- höger
- Risk
- riskhanterings
- risker
- försäljning
- Samma
- scanning
- scenario
- hemligheter
- säkerhet
- Säkerhetsåtgärder
- sända
- känslig
- allvarlig
- serverar
- service
- tjänsteleverantörer
- Tjänster
- skall
- enda
- långsam
- Mjukvara
- mjukvarukomponenter
- Programutvecklare
- några
- ibland
- sofistikerade
- Källa
- källkod
- specifik
- standarder
- startar
- Steg
- Steg
- stola
- stulna
- lagra
- Senare
- sådana
- lidit
- leverantör
- leverantörer
- leverera
- leveranskedjan
- Försörjningskedjor
- hållbart
- Ta
- Målet
- lag
- än
- den där
- Smakämnen
- stöld
- deras
- Dem
- sedan
- Där.
- Dessa
- de
- detta
- hot
- hotaktörer
- Genom
- tid
- till
- verktyg
- verktyg
- handla
- traditionell
- överföring
- Litar
- lita
- Typ
- typer
- förstå
- förståelse
- tills
- Uppdatering
- uppdatering
- us
- användning
- användbara
- användare
- med hjälp av
- vanligen
- försäljare
- verifierade
- via
- synlighet
- sårbarheter
- sårbarhet
- var
- Sätt..
- sätt
- begav sig
- były
- Vad
- när
- om
- som
- VEM
- vars
- kommer
- med
- arbetssätt
- världen
- värsta
- år
- ännu
- Om er
- Din
- zephyrnet