Mitä yhteistä on Marks & Spencerillä ja Jaguar Land Roverilla (JLR)? Molemmat kärsivät merkittävistä kiristysohjelmahyökkäyksistä tänä vuonna sen jälkeen, kun uhkatoimijat kohdistivat hyökkäyksensä toimittajiin. M&S:n tapauksessa hyökkäyksen uskotaan olleen Tatan urakoitsijan kannettava tietokone. JLR, se oli tiedon varastaja joka kohdistui LG Electronicsin työntekijään, jolla oli pääsy autonvalmistajan verkkoon.

Molemmat korostavat kasvavaa uhkaa, jonka usein läpinäkymättömät ja hauraat toimitusketjujen riippuvuudet aiheuttavat organisaatioille. Haaste todennäköisesti vain pahenee, kun uusi maailmanlaajuinen kauppasota pakottaa yritykset nopeasti uudistamaan toimitusketjujaan, eikä uusien kumppaneiden valintaan jää juurikaan aikaa. Kuten uusi tutkimus paljastaa, korjattavaa on paljon.

Ongelma kahdessa osassa

Maailman talousfoorumin (WEF) mukaan yli puolet (54 %) maailmanlaajuisista organisaatioista nimeää toimitusketjujen haasteet suurimmaksi esteeksi kyberresilienssin saavuttamiselle. ”Toimitusketjujen kasvava monimutkaisuus yhdistettynä toimittajien turvallisuustasojen näkyvyyden ja valvonnan puutteeseen on noussut organisaatioiden johtavaksi kyberturvallisuusriskiksi”, sen mukaan raportin muistiinpanot.

Toimitusketjun turvallisuuden haaste koostuu kahdesta osasta:

  1. Ohjelmistot, jotka tuovat haittaohjelmia tai haavoittuvuuksia luotettaviin ympäristöihin. Avoimen lähdekoodin komponentit ovat tässä erityisen syyllisiä, koska niitä ei usein dokumentoida asianmukaisesti, mikä johtaa tietoturvaongelmiin. Log4Shellin kaltaiset tapahtumatMutta ne eivät ole ainoa riski. Omistusoikeudelliset ohjelmistot, kuten Siirrä se Ja GoAnywhereen on myös aiemmin kohdistettu nollapäivähyökkäyksiä laajamittaisiin tietovarkaus- ja kiristyskampanjoihin, jotka ovat vaikuttaneet miljooniin asiakasyrityksiin.
  2. Vaarantunut toimitusketjukumppani – kuten MSP, SaaS-palveluntarjoaja tai ammattipalveluyritys – voi aiheuttaa merkittäviä tietoturvariskejä. Hyökkääjät voivat päästä suoraan organisaation tietoihin, jos kumppani on säilyttänyt niitä, tai saada kirjautumistunnukset organisaation verkko-/pilvitileille toimittajan kautta. He voivat myös kohdistaa toimittajiin kiristyshaittaohjelmia, joilla voi olla tuhoisa vaikutus koko toimitusketjuun. Synnovisin NHS-isku.

Valitettavasti kaksi äskettäin julkaistua raporttia korostavat toimitusketjun riskien lieventämisen jatkuvia haasteita. LevelBlue-tutkimus toteaa, että organisaatioista, jotka sanovat olevansa "erittäin vähän näkyviä" ohjelmistojen toimitusketjussa, 80 % on kärsinyt tietoturvaloukkauksesta viimeisten 12 kuukauden aikana. Tämä verrattuna vain 6 %:iin, jotka sanovat olevansa "erittäin näkyviä".

Erikseen, Riskikirjanpitoraportit että lähes puolet (46 %) Yhdistyneen kuningaskunnan organisaatioista on kokenut toimitusketjussaan vähintään kaksi kyberturvallisuuspoikkeamaa viimeisen vuoden aikana. Raportista käy myös ilmi, että 90 % vastaajista pitää toimitusketjun kyberturvallisuuspoikkeamia yhtenä vuoden 2025 suurimmista huolenaiheista ja vain kaksi viidesosaa (37 %) kuvailee kolmannen osapuolen riskienhallintaansa "erittäin tehokkaaksi".

Sääntelyviranomaiset haluavat toimia

LevelBluen mukaan toimitusjohtajat ovat yleensä huolissaan toimitusketjun riskeistä kuin johtoryhmän kollegansa. 40 % mainitsee sen organisaation suurimmaksi tietoturvariskiksi, kun taas tietohallintojohtajia (29 %) ja teknologiajohtajia (27 %) mainitsee huomattavasti vähemmän. Tämä oletettavasti tarkoittaa ylimääräistä painetta tietohallintojohtajille ja heidän tiimeilleen. Totuus kuitenkin on, että he ovat jo nyt äärimmäisen paineen alla noudattaakseen uusia säännöksiä, jotka kohdistuvat toimittajariskeihin. Näitä ovat:

DORA: DORA muun muassa edellyttää, että rahoituslaitokset hallitsevat kolmansien osapuolten IT-toimittajien riskiä osana yleistä IT-riskienhallintaa hallituksen valvonnassa. Niiden on myös ylläpidettävä yksityiskohtaista ja ajantasaista rekisteriä kaikista näiden toimittajien kanssa tehdyistä sopimuksista ja suoritettava perusteellinen due diligence -tarkastus uusille toimittajille.

NIS 2: Edellyttää, että kaikilla soveltamisalaan kuuluvilla organisaatioilla on käytössä toimitusketjun riskienhallintakäytännöt ja että ne arvioivat "jokaisen suoran toimittajan ja palveluntarjoajan erityiset haavoittuvuudet". Ylin johtaja ja johto ovat suoraan vastuussa tämän valvonnasta.

Kyberturvallisuutta ja -resilienssiä koskeva lakiesitys: Ison-Britannian verkko- ja tietoturvapäivitys edellyttää muun muassa, että säännellyt organisaatiot arvioivat ja vahvistavat toimittajasuhteita, toteuttavat vankan kolmannen osapuolen riskienhallinnan ja kirjaavat turvallisuusodotukset sopimuksiin.

Ryhtyä toimiin

LevelBluen pääevankelista Theresa Lanowitz väittää, että ohjelmistojen toimitusketjussa näkyvyyden on oltava etusijalla – ”varsinkin kun toimitusketjut kasvavat kooltaan ja monimutkaistuvat ja organisaatiot ottavat käyttöön yhä enemmän tekoälypohjaisia ratkaisuja”.

Hän kertoo ISMS.online-sivustolle: ”Tietoturvajohtajien tulisi keskittyä neljään keskeiseen toimenpiteeseen: hyödyntää johtotason tietoisuutta resurssien turvaamiseksi, yhdenmukaistaa sisäisesti suurimpia haavoittuvuuksia, investoida ennakoiviin turvatoimiin ja arvioida säännöllisesti toimittajien kyberturvallisuuskäytäntöjä. Tämä tasapainoinen ja ennakoiva lähestymistapa vahvistaa näkyvyyttä, valmiutta ja vastuullisuutta koko toimitusketjussa.”

Risk Ledgerin kyberturvallisuusjohtaja Justin Kuruvilla kertoo ISMS.online-sivustolle, että organisaatioiden on omaksuttava "oleta tietomurto" -ajattelutapa ja suunniteltava tietoturvainfrastruktuurinsa siten, että se hillitsee ja rajoittaa kaikkea haitallista toimintaa.

”Näkyvyyden saaminen kolmansien, neljänsien ja jopa n:nnen osapuolen suhteisiin on siksi olennaista. Tämä laajempi näkökulma auttaa turvallisuusjohtajia rakentamaan tarkemman ymmärryksen altistumisestaan ja priorisoimaan lieventämistoimia siellä, missä niillä on eniten merkitystä”, hän lisää.

Kuruvilla väittää, että ohjelmistojen toimitusketjut vaativat erityistä tarkastelua, kun otetaan huomioon laajalti käytetyn koodin haavoittuvuuksien mahdollinen vaikutus.

”Organisaatioiden tulisi odottaa toimittajiensa omaksuvan alan tunnustettujen viitekehysten mukaiset turvalliset kehityskäytännöt”, hän lisää. ”Duel diligence -vaatimusten aste voi vaihdella toimittajan kriittisyyden ja organisaation riskinottohalukkuuden mukaan. Sen tulisi kuitenkin sisältää turvallisen ohjelmistokehityksen elementtejä, kuten CI/CD-käytännöt, haavoittuvuuksien hallinta ja ohjelmiston materiaaliluettelon (SBoM) toimittaminen.”

Miten ISO 27001 voi auttaa?

LevelBluen Lanowitz väittää, että parhaiden käytäntöjen standardit, kuten ISO 27001, voivat tarjota hyödyllisen perustan paremman toimitusketjun turvallisuuden rakentamiselle.

”Organisaatioiden kamppaillessa hajanaisen riskinäkyvyyden ja epäjohdonmukaisten käytäntöjen kanssa ISO 27001 voi auttaa yhtenäistämään ja yksinkertaistamaan vaatimustenmukaisuustoimia eri alueilla ja sektoreilla. Standardin avulla tietoturvajohtajat voivat noudattaa jäsenneltyä lähestymistapaa riskienhallintaan ja jatkuvaan parantamiseen”, hän lisää.

”Koska monilla säännöksillä on samat keskeiset parhaat käytännöt – mukaan lukien riskinarvioinnit, pääsynhallinta, toimittajien taustatarkastus ja tietoturvaloukkausten suunnittelu – ISO 27001 -standardin käyttöönotto voi myös vähentää vaatimustenmukaisuuden päällekkäisyyksiä.”

Risk Ledgerin Kuruvilla on samaa mieltä, vaikkakin hän varoittaa "rasti ruutuun" -noudattamisesta.

Sen sijaan organisaatiot, jotka priorisoivat vankan ja riskiperusteisen lähestymistavan kyberriskien hallintaan, saavuttavat yleensä vaatimustenmukaisuuden luonnollisena seurauksena, hän päättelee.