Riskien kartoitus: NCSC:n ohjeet toimitusketjun turvallisuudesta
Sisällysluettelo:
Kyberhyökkäykset, jotka vaikuttavat organisaation toimitusketjuun – eikä suoraan organisaatioon – ovat yhä yleisempiä.
Jos toimittajaasi rikotaan, organisaation omaisuus on vaarassa. Tämän tietoisesti hyökkääjät ovat omaksuneet taktiikkana käyttää hyökkäyksiä ohjelmistojen toimitusketjun kautta. Kuten aikaisemmin raportoitu, hyökkäysmuoto, joka nousi ensimmäisen kerran esiin vuoden 2017 NotPetya ransomware -hyökkäyksen ja vuoden 2020 SolarWinds-murron myötä, on tulossa yritysten turvallisuuden vitsaus.
- MOVEit-tiedostonsiirtoohjelmiston haavoittuvuuden hyväksikäyttö Varastaa tietoja ja yrittää kiristää maksuja teknologian käyttäjiltä havainnollistaa, kuinka verkkorikolliset ja kansallisvaltiot käyttävät toimitusketjuhyökkäyksiä hyökkäysvektorina.
Kaupalliset ohjelmistopaketit, avoimen lähdekoodin komponentit ja pilviteknologian elementit ovat kaikki toimitusketjun hyökkäysten vaarassa.
Toimitusketjuhyökkäysten tavoitteet voivat vaihdella sabotaasista haittaohjelmien jakeluun, kiristysohjelmiin ja jopa kybervakoiluun. Ketju on vain niin vahva kuin sen heikoin komponentti, ja ongelmia voi syntyä teknologian toimittajista organisaation toimittajille yhtä paljon kuin toimittajista, joiden kanssa jollakin on suora liikesuhde, mikä vaikeuttaa kuvaa entisestään.
Toimitusketjun riippuvuudet
Yhdistyneen kuningaskunnan kansallisen kyberturvallisuuskeskuksen (NCSC) vuoden 2022 vuosikatsauksessa nostettiin toimitusketjun turvallisuus keskeiseksi "tulevaisuuden uhkahaasteeksi". NCSC seurasi varoitusta aiemmin tänä vuonna opastusta siitä, miten organisaatiot voivat kartoittaa toimitusketjunsa riskit.
Keskisuurille ja suurille organisaatioille suunnattu ohje tarjoaa käytännön askeleita toimitusketjujen kyberturvallisuuden arvioimiseksi paremmin. Tämä on haastava tehtävä, kuten NCSC myöntää.
"Toimitusketjut ovat usein suuria ja monimutkaisia, ja toimitusketjun tehokas turvaaminen voi olla vaikeaa, koska haavoittuvuuksia voi esiintyä luontaisesti, niitä voidaan käyttää tai niitä voidaan hyödyntää missä tahansa kohdassa", Ison-Britannian hallituksen tietoturvavirasto selittää.
Toimitusketjun riippuvuuksien kartoituksen pelottava tehtävä voidaan hoitaa jakamalla se hallittaviin osiin, mukaan lukien:
- Mitä tuotetta tai palvelua tarjotaan, kuka tarjoaa ja mikä on hyödykkeen merkitys organisaatiolle
- Luettelo tavarantoimittajista ja heidän alihankkijoistaan, joka osoittaa, miten ne ovat yhteydessä toisiinsa
Varmennusasiantuntijat ovat suhtautuneet myönteisesti NCSC:n kartoitusohjeisiin.
Piers Wilson, Chartered Institute of Information Securityn (CIISec) johtaja, kertoi ISMS.online-sivustolle: "NCSC:n ohjeissa korostetaan tarvetta tunnistaa ja ymmärtää toimittajat ja heidän yksilölliset riskinsä ketjun kaikilla tasoilla. Jotkut toimittajat, joiden kanssa saatat jakaa tietoja, kun taas toiset eivät koske tietoihisi tarjoten kriittistä tukea. Siitä huolimatta kaikki nämä lisäävät mahdollista hyökkäyspintaa."
Wilson jatkoi: "Silloin pilvipalveluiden tai hallittujen palveluntarjoajien kaltaiset järjestelmäriskit voivat olla perustana paitsi yrityksellesi myös muille organisaatioille, joihin luotat."
Osa prosessia sisältää riippuvuuksien kartoittamista, prosessia, joka muistuttaa omaisuusinventaariota. Wilson selitti: "Toimitusketjun kartoittamiseen käytettyjen arviointi- ja auditointiprosessien on oltava tarkoituksenmukaisia, toistettavia ja selviytyä liiketoiminnan tarpeista. Heidän on myös annettava tarvittavat tiedot riskeistä, kyberhygienian tilasta ja laajemmasta hyökkäyspinnasta. NCSC:n opastus on askel kohti tätä."
Toimitusketjun riskit nousivat kriittiseksi haasteeksi vuonna ISMS.onlinen tuore tietoturvan tilaraportti. Tutkimuksessa, johon osallistui 500 vanhempaa tietoturva-ammattilaista, 30 % vastaajista mainitsi toimittaja- ja kolmannen osapuolen riskien hallinnan "huipputietoturvahaasteena". Yli puolet (57 %) tutkituista organisaatioista koki rikkomuksen toimitusketjun kompromissin vuoksi.
Ylikuormittaa
CIISec varoitti, että toimitusketjun kartoitus todennäköisesti lisää rasitusta jo ennestään kovassa paineessa oleville turvallisuustiimeille.
CIISecin Wilson kommentoi: "NCSC- ja ISO-ohjeiden noudattaminen auttaa turvallisuustiimejä tunnistamaan tehokkaimman ja tehokkaimman tavan kartoittaa ja suojata toimitusketjujaan. Mutta lisäksi alan on jatkettava panostusta koulutukseen ja tuoreen veren houkuttelemiseen, jotta joukkueille annetaan tarvitsemansa taidot ja tuki, eivätkä ne pala loppuun.”
Esviitekehyksen laatiminen
ISO 27001 on kansainvälinen standardi tietoturvan hallintajärjestelmille. Viitekehys tarjoaa ohjeita yritystietojen luottamuksellisuuden, eheyden ja saatavuuden ylläpitämiseen.
Tietoturvastandardin parhaiden käytäntöjen lähestymistapa auttaa organisaatioita hallitsemaan tietoturvaansa suositusten avulla, jotka kattavat ihmiset, prosessit ja teknologian.
NCSC:n kartoitusohje lainaa omiaan Cyber Essentials ja ISO- ja tuotesertifioinnit työkaluina, jotka auttavat kartoittamaan toimitusketjun kartoitusta.
Luke Dash, ISMS.onlinen pääjohtaja, sanoi, että organisaatioiden on tehtävä yhteistyötä toimittajiensa kanssa kartoittaakseen toimitusketjun riskejä käyttämällä ISO 27001 -standardia oppaana. "ISO 27001, joka tunnetaan kattavasta lähestymistavastaan tietoturvariskien hallintaan, täydentää täydellisesti NCSC:n toimitusketjun kartoitusneuvoja tarjoamalla vankan kehyksen organisaatioille, jotka haluavat turvata digitaalisia omaisuuksiaan", Dash selitti. ”Molemmat kokonaisuudet priorisoivat kriittistä riskinarviointivaihetta ja korostavat organisaatioiden tarvetta tunnistaa ja arvioida tietovaroihinsa ja toimitusketjuihinsa liittyvät riskit.
Dash lisäsi: "Tekemällä yhteisen riskinarviointimatkan organisaatiot voivat ymmärtää kattavasti mahdollisia haavoittuvuuksia ja antaa niille mahdollisuuden toteuttaa kohdennettuja turvatoimia."
Osa riskienhallintaprosessia sisältää toimittajien tietoturvakypsyyden mittaamisen ennen näiden tietojen käyttöä hankintapäätösten tekemiseen. ISMS.onlinen Dash selitti: "NCSC:n toimitusketjun kartoitusneuvonnassa korostetaan toimittajien turvallisuuskäytäntöjen arvioinnin merkitystä, mukaan lukien heidän ymmärryksensä uusista uhista ja häiriötilanteisiin reagointivalmiuksista. Näiden kriteerien yhtenäistäminen antaa organisaatioille mahdollisuuden tehdä tietoon perustuvia päätöksiä ja valita toimittajat, joilla on vankat turvallisuusasennot, jotka vastaavat heidän tiukkoja standardejaan."
Sopimussopimuksilla on myös keskeinen rooli yhtenäisen kehyksen luomisessa. "ISO 27001 korostaa, että on tärkeää luoda selkeitä sopimuksia, joissa määritellään tietoturvavastuut ja toimittajien odotukset", sanoi ISMS.onlinen Dash. "Täydellisesti linjassa NCSC:n toimitusketjun kartoitusneuvonta rohkaisee organisaatioita sisällyttämään turvallisuusvaatimukset sopimusjärjestelyihin ja varmistamaan tiukkojen turvallisuusstandardien noudattamisen koko toimitusketjussa."
Jatkuva seuranta ja tarkastelu ovat tärkeitä osia sekä NCSC:n toimitusketjun kartoitusneuvonnassa että ISO 27001 -standardissa, mikä mahdollistaa täydentävän viitekehyksen soveltamisen rinnakkain."ISO 27001:n painotus jatkuvaan parantamiseen vastaa saumattomasti NCSC:n suositusta toimitusketjun riskien säännöllisestä uudelleenarvioinnista ja toimittajien turvallisuuskäytäntöjen säännöllisistä tarkasteluista", ISMS.online's Dash totesi.
"Tämän yhteisen lähestymistavan avulla organisaatiot pysyvät ketterinä, reagoivat ennakoivasti esiin nouseviin uhkiin ja varmistavat toimitusketjujensa jatkuvan turvallisuuden."
Yksinkertaista toimitusketjun hallintasi jo tänään
Ota selvää, kuinka ISMS-ratkaisumme mahdollistaa yksinkertaisen, turvallisen ja kestävän lähestymistavan toimitusketjun hallintaan ja tiedonhallintaan ISO 27001:n ja yli 50 muun viitekehyksen avulla.
