toimitusketjun opastusta maailmanlaajuisilta kyberturvallisuuselimiltä

Kansainväliset kybertoimistot antavat toimitusketjun ohjeita viimeaikaisten kyberhyökkäysten piikkien jälkeen

Viime kuussa Yhdysvaltojen, Yhdistyneen kuningaskunnan, Australian, Kanadan ja Uuden-Seelannin kyberturvallisuuden hallintoelimet julkaisivat osana yhteistä neuvoa-antavaa toimitusketjun viralliset kyberturvallisuusohjeet auttaa organisaatioita pitämään tietonsa turvassa.   

Tuoreet ohjeet, jotka keskittyvät tukemaan keskisuuria ja suuria yrityksiä sekä riskien, tiedon ja kyberturvallisuuden hallinnasta vastaavien organisaatioiden sisällä, auttavat luomaan tai parantamaan organisatorisia lähestymistapoja toimitusketjun kyberturvallisuusriskien arvioimiseen. 

Miksi kybertoimistot keskittyvät toimitusketjun turvallisuuteen?

Toimitusketjun kompromissi on osunut otsikoihin ennennäkemättömän paljon. SolarWindsin hyökkäys vuonna 2020 näytti avaavan tulvaportit, eivätkä rikkomukset lakkaa tulemasta.  

Pelkästään viimeisen kuukauden aikana Australian MediBankissa yli 4 miljoonaa potilastietoa vaarantui ja vuoti nettiin. Tanskan suurimman junaverkoston DSB:n toimittaja Supeo joutui rikkomukseen, joka esti fyysisesti junien liikkumisen yli kaksi tuntia. Ja Chase UK joutui hyökkäykseen, joka esti heidän asiakkaitaan käyttämästä pankkisovellustaan ​​lähes kahden päivän ajan.  

Koska organisaatiot luottavat kasvavaan määrään toimittajia toimittaakseen tuotteita, järjestelmiä ja palveluita, riski, että haavoittuvuudet otetaan käyttöön tai niitä hyödynnetään näiden toimittajien kautta, kasvaa merkittävästi. Tämän lisääntyvän monimutkaisuuden vuoksi yritysten on vaikea tietää, kuinka turvallinen toimitusketjunsa on ja onko niillä riittävästi suojauksia käytössä.  

Viime kädessä näillä kyberhyökkäyksillä voi olla tuhoisa vaikutus yrityksiin, ja niillä voi olla kalliita ja pitkäaikaisia ​​seurauksia organisaatioille, niiden kriittisille toimittajille ja asiakkaille.  

Miksi toimitusketjun turvallisuuteen on yritysten niin vaikea puuttua?   

Huolimatta hyvin dokumentoiduista riskeistä monet yritykset unohtavat edelleen toimitusketjunsa. Itse asiassa mukaan Vuoden 2022 tietoturvaloukkaustutkimus, "hieman yli joka kymmenes yritys arvioi välittömien toimittajiensa aiheuttamia riskejä (13 %), ja laajemman toimitusketjun osuus on puolet tästä luvusta (7 %)." 

Toimitusketjun hyökkäykseen liittyvät kyberriskit eivät ole koskaan olleet suurempia; hyökkääjät kehittävät hyökkäysmenetelmiä ja työkaluja yhä hälyttävämpään tahtiin. Huolimatta kasvavasta yleisön tietoisuudesta uhkista ja lisääntyneestä sääntelystä huolimatta yritykset eivät pysy perässä.  

Kansallisen kyberturvallisuuskeskuksen (NCSC) mukaan vaikka monet organisaatiot ymmärtävät, että niiden toimitusketjun pitäisi olla huolestuttava, on edelleen olemassa:  

  • investointien puute suojaa tätä kyberriskiä vastaan 
  • rajoitettu näkyvyys toimitusketjuissa 
  • riittämättömät työkalut ja asiantuntemus toimittajien kyberturvallisuuden arvioimiseksi 
  • epäselvyyttä siitä, mitä sinun pitäisi pyytää toimittajiasi tekemään

Nämä ongelmat jättävät toimitusketjut alttiina ja ovat vaarassa joutua kyberrikollisten hyväksikäyttöön.   

Käytännön vaiheita organisaatioille toimitusketjunsa turvaamiseksi 

Kyberhallinnon elinten julkaisemat ohjeet jakavat parhaan lähestymistavan viiteen avainvaiheeseen: 

  1. Ymmärrä, miksi organisaatiosi pitäisi välittää toimitusketjun turvallisuudesta 

 Organisaatioiden on ymmärrettävä, mikä niiden ekosysteemissä tarvitsee suojaa ja miksi se on turvattava, jotta toimitusketjua voidaan hallita järkevästi.  

Viime kädessä tehokkaan kyberturvallisuuden on vastattava järjestelmiäsi, prosessejasi, henkilökuntaasi, kulttuuriasi ja riskitasoa, jonka olet valmis ottamaan.   

  1. Kehitä lähestymistapa toimitusketjun turvallisuuden arviointiin 

 Määritä organisaatiosi kriittiset näkökohdat, joita sinun on suojeltava eniten ("kruununjalokivisi") ottaen huomioon mahdolliset uhat, haavoittuvuudet, vaikutukset ja organisaatiosi riskinottohalu.  

Luo useita organisaatiosi tunnistettuja keskeisiä näkökohtia porrastetut toimittajien turvallisuusprofiilit. Jokaisen profiilin tulee edustaa kasvavaa vaikutusta, ja määritä ne sitten kullekin toimittajallesi.  

  1. Käytä lähestymistapaa uusien toimittajakeskusteluihin 

Upota uusia tietoturvakäytäntöjä uusien toimittajien sopimusten koko elinkaaren ajan hankinnasta ja toimittajan valinnasta sopimuksen sulkemiseen.   

Tämän prosessin pitäisi myös alkaa edistää parempaa tietoturvatietoisuutta henkilöstösi keskuudessa ja luoda jatkuvan tietoturvan ja tiedonhallinnan vaatimustenmukaisuuden valvonnan kulttuuri.  

  1. Integroi lähestymistapa olemassa oleviin toimittajasopimuksiin

Sovitun uuden lähestymistavan avulla tarkista olemassa olevat sopimuksi joko uusimisen yhteydessä tai kriittisten toimittajien osalta aikaisemmin. 

  1. Paranna jatkuvasti

Säännöllinen lähestymistapasi hiominen uusien ongelmien ilmetessä vähentää riskien todennäköisyyttä, jotka vaikuttavat organisaatioosi toimitusketjun kautta.  

Miten ISO 27001 voi mahdollistaa kestävän toimitusketjun suojauksen  

ISO 27001 on kansainvälisesti tunnustettu tiedonhallinnan standardi, mutta se on todellisuudessa kyse riskienhallinta. Ja tähän NCSC:n, CISA:n, FBI:n, ACSC:n, CCCS:n ja NZ NCSC:n julkaisemat ohjeet palaavat jatkuvasti, minkä vuoksi ISO 27001 -kehyksen puitteissa työskentely edistää käyttäytymistä ja turvallisuusetuja kaikille yrityksille, jotka haluavat parantaa kyberkestävyyttään. ja erottuu kilpailijoistaan.  

ISO 27001 neuvoo yrityksiä pitämään a yksinkertainen prosessi toimittajien perehdyttämiseen ja hallintaan. Keskity erityisesti seuraaviin:  

  • pito infosec-käytännöt, menettelyt ja valvonta ovat ajan tasalla 
  • Vaikutuksen säilyttäminen kriittisenä tietoa liiketoiminnasta, järjestelmät ja prosessit 
  • Muista arvioida tunnistetut riskit uudelleen ja tarkistaa, että toimittajat täyttävät jatkuvat turvallisuusvaatimukset  

Tämä saattaa tuntua välttämättömältä terveen järjen neuvolta, mutta se voi säästää organisaatioiden aikaa, rahaa, mainevaurioita ja turhautumista, jos se toteutetaan oikein. Lisäksi ISO 27001 -kehyksen noudattaminen voi tarjota merkittävää liiketoimintaetua osoittamalla sertifioidut tietoturvatietosi nykyisille ja tuleville asiakkaille. 

Vahvista toimitusketjusi turvallisuutta jo tänään  

Jos haluat aloittaa matkasi toimitusketjun parempaan turvallisuuteen, voimme auttaa.   

ISMS-ratkaisumme mahdollistaa yksinkertaisen, turvallisen ja kestävän lähestymistavan tiedonhallintaan ISO 27001-, NIST- ja muiden viitekehysten avulla. Se tarjoaa toimitusketjun suojausmoduuleja, joita voidaan nopeasti ottaa käyttöön, mukauttaa ja lisätä ajan myötä onnistuneen kyberturvallisuuden saavuttamiseksi ja turvallisen käyttäytymisen omaksumiseksi paremmin organisaatiossasi. Avaa kilpailuetusi jo tänään.  

Varaa demo

kirjailija

Rebecca Harper

Rebecca on ISMS.online-sisältömarkkinoinnin johtaja. Yli 12 vuotta tieto- ja kyberturvallisuusalalla toiminut Rebecca on omistautunut kouluttamaan, lisäämään tietoisuutta ja vahvistamaan yrityksiä saavuttamaan vaatimustenmukaisuuden, tiedon ja kyberturvallisuuden hallinnan tavoitteet.

Näytä kaikki Rebecca Harperin viestit

Aiheeseen liittyvät julkaisut

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!