Toimitusketjun tietoturvan monimutkaisuus: ISMS:n näkemyksiä. online-sivuston tietoturvaraportti

Vuoden 2022 lopussa meitä pyydettiin luetteloimaan tärkeimmät kybertrendit, joiden odotimme dominoivan otsikoita vuonna 2023, ja ilmoitimme toimitusketjusta. Ja poika, olimmeko oikeassa! Viimeisen kolmen kuukauden aikana toimitusketjun turvallisuus on ollut valokeilassa ja kaikista vääristä syistä.

Maaliskuussa IT-ulkoistusjätti Capita joutui ransomware-rikkomukseen, joka vaikuttaa moniin valtion ja yksityisen sektorin asiakkaisiin, mukaan lukien Royal Mail, Axa ja USS, yksi Ison-Britannian suurimmista eläkerahastoista. Vaikka Ison-Britannian varapääministeri Oliver Dowden varoitti kriittisten kansallisten infrastruktuurien toimitusketjujen riskeistä ja antoi yrityksille virallisen varoituksen odottamattomien toimijoiden tulevista hyökkäyksistä

Äskettäin suuret tuotemerkit, mukaan lukien BA, Boots ja BBC, joutuivat henkilökohtaisiin ja taloudellisiin tietoturvaloukkauksiin, jotka koskivat henkilöstöä ja asiakkaita. Syyllinen? Virhe MOVEit-nimisessä tiedostonsiirtotyökalussa, jota heidän palkanlaskennan tarjoajansa Zellis käytti.

Toimitusketjun turvallisuuden haasteet

Joten miksi toimitusketjun tietoturva vaikuttaa niin vaikealta organisaatioille päästä käsiksi? Yksi kriittisistä haasteista on globaalien toimitusketjujen lisääntynyt monimutkaisuus ja keskinäinen riippuvuus. Organisaatioilla on usein rajoitettu näkyvyys ja hallinta laajennetussa verkossaan, mikä tekee tietojen ja järjestelmien turvallisuuden varmistamisesta välittömän ulottumattomissa haastavaa.

Lisäksi toimitusketjun tietoturvaan liittyy haavoittuvuuksia, kuten toimittajien riittämättömät tietoturvakäytännöt, heikot todennusmekanismit, vanhentuneet ohjelmistot ja jopa mahdolliset luonnonkatastrofien tai geopoliittisten tapahtumien aiheuttamat toimitusketjun häiriöt.

Toimitusketjun rikkomisen vaikutukset voivat olla vakavia ja kauaskantoisia. Se ei voi johtaa ainoastaan ​​taloudellisiin menetyksiin, mainevaurioihin ja oikeudellisiin seurauksiin, vaan se voi myös häiritä toimintaa ja vaarantaa asiakkaiden ja sidosryhmien luottamuksen. Toimitusketjujen yhteenliittymä luonne tarkoittaa, että yhden organisaation rikkomisella voi olla peräkkäisiä vaikutuksia useisiin ketjun kokonaisuuksiin, mikä voimistaa mahdollista haittaa.

Mitä tietoturvaraportti kertoo meille toimitusketjun turvallisuudesta?

Huolimatta hyvin dokumentoiduista riskeistä ja kasvavasta otsikoista monet yritykset menettävät edelleen toimitusketjunsa näkyvistä. Itse asiassa meidän mukaan Tietoturvan tilaraportti 2023, vain 30 % organisaatioista uskoi kamppailevansa toimitusketjunsa hallinnassa, mutta yli 57 % myönsi kokeneensa vähintään yhden kybertapahtuman toimitusketjun kompromissin seurauksena viimeisen 12 kuukauden aikana, ja monet myönsivät useamman kuin yhden tapauksen.

Mistä tämä katkaisu tulee? The NCSC teki äskettäin omaa tutkimustaan ja havaitsi, että "hieman yli joka kymmenes yritys arvioi välittömien toimittajiensa aiheuttamat riskit (13 %), ja laajemman toimitusketjun osuus on puolet tästä luvusta (7 %)."

Vaikka monet organisaatiot ymmärtävätkin, että niiden toimitusketjun pitäisi olla huolestuttava, on kuitenkin olemassa:

• investointien puute suojaa tätä kyberriskiä vastaan
• rajoitettu näkyvyys toimitusketjuissa
• riittämättömät työkalut ja asiantuntemus toimittajien kyberturvallisuuden arvioimiseksi

epäselvyyttä siitä, mitä sinun pitäisi pyytää toimittajiasi tekemään

Nämä ongelmat jättävät toimitusketjut alttiina ja ovat vaarassa joutua kyberrikollisten hyväksikäyttöön.

Sääntelyhaasteet ja toimitusketjun turvallisuus

Viimeisten 12 kuukauden aikana lähes kaksi kolmasosaa (60 %) Yhdistyneen kuningaskunnan yrityksistä on saanut sakon tietomurtojen tai säännösten rikkomisen vuoksi. Keskimääräinen sakkojen kokonaissumma oli lähes 250,000 XNUMX puntaa.

Yleisimmät sakot tietomurroista vaihtelivat 50,000 100,000–21 100,000 puntaa (250,000 %), jota seurasivat 17.5 21–250,000 500,000 puntaa (1,000,000 %). Lähes XNUMX % vastaajista sai yli XNUMX XNUMX punnan sakkoja, ja hieman alle puolet myönsi saaneensa sakkoja, jotka vaihtelivat XNUMX XNUMX puntaa huikeaan XNUMX XNUMX XNUMX puntaa.

Näistä sakoista hälyttävät 42 % johtui joko suoraan tai epäsuorasti tietoturvaloukkauksesta tai tapahtumasta, joka sisälsi toimitusketjun tai kolmannen osapuolen toimittajan kompromissin. Korosta, kuinka tärkeä osa toimittajan hallintaa on organisaation tietoturvaan ja säädöstenmukaisuuteen.

Tärkeimmät suuntaukset, jotka vaikuttavat toimitusketjun turvallisuuteen

Yksi tietoturvallisuusraportin tärkeimmistä poiminnoista on toimitusketjuihin kohdistuvien kyberhyökkäysten kehittyminen. Kyberrikolliset käyttävät kehittyneitä pysyviä uhkia (APT), jotka ovat salaperäisiä ja tarkasti kohdennettuja hyökkäyksiä, joiden tarkoituksena on vaarantaa toimitusketjun eheys. Nämä hyökkäykset voivat jäädä havaitsematta pitkiä aikoja, jolloin uhkatekijät voivat päästä luvattomasti arkaluontoisiin tietoihin tai jopa manipuloida kriittisiä järjestelmiä tai ottaa ne hallintaansa.

Järjestelmään päästyään hyökkääjät vaativat usein lunnaita päästäkseen takaisin näihin kriittisiin järjestelmiin tai uhkaavat vapauttaa arkaluonteisia tietoja, ellei niistä makseta. Lähes 25 % kyselyymme osallistuneista organisaatioista oli joutunut lunnailleen viimeisen 12 kuukauden aikana, ja lisäksi 25 % listasi kokeneensa verkkotunkeutumisen samana ajanjaksona.

Lisäksi raportti valaisee toimitusketjun kompromissihyökkäysten yleistymistä, ja 19 prosenttia vastaajista ilmoitti, että heihin on kohdistunut tällainen vaikutus viimeisten 12 kuukauden aikana. Näissä skenaarioissa hyökkääjät käyttävät hyväkseen yhden tai useamman toimitusketjun osan haavoittuvuuksia soluttautuakseen koko ekosysteemiin.

Esimerkiksi vaarantamalla toimittajan verkon tai järjestelmien hyökkääjät voivat päästä luvattomasti alavirran kumppanien luo, mikä johtaa tietoturvaloukkausten heijastusvaikutukseen. Tämä korostaa toimitusketjun turvallisuuden yhteenliitettävyyttä ja keskinäistä riippuvuutta, minkä vuoksi organisaatioiden on ratkaisevan tärkeää arvioida ja lieventää riskejä järjestelmiensä lisäksi myös koko toimitusketjuverkostossaan.

Toinen raportissa havaittu huolestuttava trendi on toimitusketjun tietojenkalasteluhyökkäysten lisääntyminen. Verkkorikolliset käyttävät sosiaalisen suunnittelun tekniikoita huijatakseen ihmisiä toimitusketjussa, huijatakseen heitä paljastamaan arkaluonteisia tietoja tai lataamaan vahingossa haittaohjelmia.

Nämä tietojenkalasteluhyökkäykset voivat olla vakuuttavia, ja usein esiintyy luotettavia toimittajia, myyjiä tai sisäisiä sidosryhmiä. Siksi ei ehkä olekaan yllättävää, että 28 % kyselyyn vastanneista ilmoitti, että heidät on loukattu työntekijöihin kohdistuneen phishing-hyökkäyksen seurauksena viimeisen 12 kuukauden aikana. Organisaatioiden on koulutettava työntekijöitään näistä uhista ja otettava käyttöön tehokkaita sähköpostin suojaustoimenpiteitä torjuakseen näitä yhä kehittyneempiä tietojenkalasteluyrityksiä.

Tavalliset toimitusketjun haavoittuvuudet ja hyökkäysvektorit

ISMS.onlinen tietoturvaraportti paljastaa myös useita yleisiä haavoittuvuuksia ja hyökkäysvektoreita, joita uhkatoimijat käyttävät hyväkseen toimittajien turvallisuuden vaarantamiseksi.

Yksi yleinen haavoittuvuus on heikko toimittajien valvonta. Monilla toimittajilla ei välttämättä ole vankkoja turvatoimia, mikä tekee niistä helpon kohteen kyberhyökkäyksille. Tällaisia ​​haavoittuvuuksia voivat olla vanhentuneet ohjelmistot, riittämätön korjaustiedostojen hallinta tai löyhät pääsynhallintalaitteet. Hyökkääjät hyödyntävät näitä heikkouksia päästäkseen luvattomasti arkaluonteisiin tietoihin tai tuodakseen haitallista koodia toimitusketjun ekosysteemiin.

Toinen haavoittuvuus johtuu asianmukaisen huolellisuuden puutteesta toimittajan käyttöönoton aikana. Organisaatiot unohtavat usein, että on tärkeää tarkistaa toimittajiensa turvallisuuskäytännöt perusteellisesti ennen liikesuhteiden aloittamista. Tämä huolimattomuus luo mahdollisen aukon toimitusketjun puolustukseen, jolloin hyökkääjät voivat hyödyntää heikointa lenkkiä. Esimerkiksi toimittaja, jolla on riittämättömät turvatoimenpiteet, voi vahingossa altistaa koko toimitusketjun merkittäville riskeille.

Riittämätön tietoturvatietoisuus ja riittämätön koulutus koko toimitusketjussa on toinen haavoittuvuus, jota hyökkääjät käyttävät hyväkseen. Toimitusketjun eri tasoilla toimivilla työntekijöillä ei välttämättä ole riittävästi tietoa kyberturvallisuuden parhaista käytännöistä tai mahdollisista uhista, joita he kohtaavat. Tämä tietovaje jättää heidät alttiiksi manipulointihyökkäyksille, tietojenkalasteluyrityksille tai haittaohjelmien vahingossa lisäämiselle järjestelmään.

Itse asiassa alle puolet tutkituista organisaatioista oli järjestänyt säännöllistä tietoturva- tai tietotietoisuuskoulutusta viimeisten 12 kuukauden aikana (47 %), mikä viittaa siihen, että 53 % organisaatioista ei ole vielä järjestänyt säännöllistä henkilöstön tietoisuuskoulutusta ollenkaan. Organisaatioiden on asetettava etusijalle turvallisuustietoisuuskoulutus ja luotava valppauskulttuuri koko toimitusketjuun.

Raportissa korostetaan myös kolmansien osapuolien ohjelmisto- ja laitteistokomponentteihin liittyviä riskejä. Näiden komponenttien integroiminen toimitusketjuun lisää riippuvuutta ulkoisista yksiköistä, mikä lisää hyökkäyspintaa ja mahdollisia haavoittuvuuksia. Haitalliset toimijat voivat vaarantaa nämä komponentit, mikä johtaa toimitusketjun häiriöihin, tietomurroihin tai vaarantuneiden ohjelmistojen tai laitteistojen käyttöönottoon.

Lisäksi toimitusketjun sisäpiiriuhat muodostavat merkittävän riskin. Sisäpiiriuhkia voi esiintyä, kun henkilöt, joilla on valtuutettu pääsy toimitusketjun ekosysteemiin, käyttävät väärin oikeuksiaan tai tietoisesti osallistuvat haitallisiin toimiin. Tämä voi olla tyytymätön työntekijä, urakoitsija, jolla on luvaton pääsy, tai vaarantunut sisäpiiriläinen. Yli 20 % kyselyymme osallistuneista oli kokenut välikohtauksen sisäpiirin uhkailun seurauksena viimeisen 12 kuukauden aikana. Tällaisilla uhilla voi olla vakavia seurauksia, mukaan lukien tietomurrot, immateriaaliomaisuuden varkaudet tai sabotaasi.

Näiden haavoittuvuuksien ymmärtäminen on ratkaisevan tärkeää, jotta organisaatiot voivat kehittää kohdennettuja riskinhallintastrategioita. Organisaatiot voivat parantaa merkittävästi toimitusketjunsa tietoturvaa tunnistamalla ja puuttumalla heikkoihin toimittajien valvontaan, ottamalla käyttöön tiukkoja due diligence -prosesseja, edistämällä tietoturvatietoisuutta ja koulutusohjelmia sekä hallitsemalla tiiviisti kolmannen osapuolen ohjelmisto- ja laitteistokomponentteja.

Toimitusketjun tietoturvan monimutkaisuus

Kasvava riippuvuus kolmansien osapuolten suhteista ja kehittyvä uhkakuva edellyttävät kattavaa lähestymistapaa riskien vähentämiseksi ja arkaluonteisten tietojen suojaamiseksi. Tarkastellaanpa joitain keskeisiä alueita, jotka on otettava huomioon, kun siirryt toimitusketjun tietoturvan monimutkaisuuteen.

Riskinarviointi- ja riskienhallintastrategiat:

Perusteellinen riskinarviointi on toimitusketjun tehokkaan tietoturvan perusta. Se sisältää toimitusketjun ekosysteemin mahdollisten haavoittuvuuksien ja uhkien tunnistamisen ja arvioinnin. Organisaatiot voivat priorisoida riskit, kohdentaa resursseja tehokkaasti ja toteuttaa kohdennettuja lieventämisstrategioita tekemällä säännöllisiä arviointeja. Näihin strategioihin voi kuulua tietojen salaus, pääsynvalvonta, säännölliset tietoturvatarkastukset ja jatkuva seuranta haavoittuvuuksien havaitsemiseksi ja korjaamiseksi nopeasti.

Vankan toimitusketjun suojakehyksen luominen:

Organisaatioiden on luotava vankka tietoturvakehys hallitakseen toimitusketjun tietoturvaa tehokkaasti. Tässä viitekehyksessä olisi esitettävä selkeät käytännöt, menettelyt ja ohjeet, joilla varmistetaan yhdenmukaiset turvallisuuskäytännöt koko toimitusketjussa. Sen tulee sisältää turvavaatimukset toimittajille, urakoitsijoille ja muille kolmansien osapuolien kumppaneille sekä suojatun tiedon jakamisen ja siirron käytännöt. Säännölliset arvioinnit ja auditoinnit voivat vahvistaa kehyksen tehokkuutta ja edistää jatkuvaa parantamista.

Yhteistyö ja kumppanuudet:

Organisaatioiden tulisi edistää avointa viestintää ja yhteistyötä toimittajien, myyjien ja muiden sidosryhmien kanssa turvallisuuskäytäntöjen yhdenmukaistamiseksi, uhkatietojen jakamiseksi ja turvallisuusasennon vahvistamiseksi. Yhteistyöaloitteet voivat sisältää tiedonjakoalustoja, yhteisiä turvallisuustarkastuksia ja säännöllisiä turvallisuuskoulutuksia ja tietoisuusohjelmia.

Kolmannen osapuolen riskienhallinta:

On välttämätöntä luoda vankat kolmannen osapuolen riskinhallintaprosessit. Tämä edellyttää due diligence -menettelyä kumppaneiden valinnassa, heidän turvallisuuskäytäntöjensä arvioimista ja sopimusten solmimista, joissa määritellään turvallisuusodotukset ja -vastuut. Kolmannen osapuolen turvatoimien säännöllistä seurantaa ja tarkastuksia on suoritettava jatkuvan vaatimustenmukaisuuden varmistamiseksi.

Vahinko- ja toipumissuunnitelmat:

Ennakoivista turvatoimista huolimatta vaaratilanteita voi silti tapahtua. On erittäin tärkeää, että on olemassa tarkkaan määritellyt hätätilanteisiin reagointi- ja elvytyssuunnitelmat. Näissä suunnitelmissa tulee kuvata toimenpiteet, jotka on toteutettava turvaloukkauksen sattuessa, mukaan lukien tapahtuman havaitseminen, eristäminen, tutkiminen ja palautuminen. Organisaatioiden tulee suorittaa säännöllisiä hätätilanteiden torjuntaharjoituksia ja simulaatioita suunnitelmiensa tehokkuuden testaamiseksi ja parannuskohteiden tunnistamiseksi.

Ennakoiva ja kattava toimitusketjun tietoturvalähestymistapa on ratkaisevan tärkeä pitkän aikavälin menestykselle ja liiketoiminnan jatkuvuudelle jatkuvasti kehittyvässä uhkaympäristössä.

Kuinka ISO 27001 voi auttaa saavuttamaan tehokkaan toimitusketjun hallinnan

ISO 27001 on kansainvälisesti tunnustettu tiedonhallinnan standardi, mutta se on todellisuudessa kyse riskienhallinta. ISO 27001 -standardin puitteissa työskentely edistää käyttäytymistä ja tietoturvaetuja kaikille yrityksille, jotka haluavat parantaa kybersietokykyään ja hallita tehokkaasti toimitusketjunsa turvallisuutta.

ISO 27001 neuvoo yrityksiä pitämääntoimittajien käyttöönottoa ja hallintaa varten on käytössä selkeä prosessi. Keskity erityisesti seuraaviin:

1. Muodollisen toimittajien politiikan laatiminen, jossa määritellään vaatimukset kolmansiin osapuoliin liittyvien riskien vähentämiseksi
2. Näiden vaatimusten soviminen ja dokumentointi kunkin toimittajan kanssa
3. Tarkastustoimittajilla on käytössään prosessit, jotka täyttävät asianmukaisen perusturvatason (mukaan lukien heidän omat toimitusketjunsa). Tämä voidaan tehdä kohdistetuilla auditoinneilla, kyselyillä tai ISO 27001 -akkreditointitarkastuksilla.
4. Säännöllisesti päivitettävän luettelon ylläpitäminen hyväksytyistä toimittajista
5. Arvioi säännöllisesti, täyttävätkö toimittajat turvallisuusvaatimukset.
6. Varmista, että kaikki tekniikan tai prosessin muutokset merkitään viipymättä ja että ymmärrät niiden vaikutuksen toimittajariskiin.

Tämä saattaa tuntua välttämättömältä terveen järjen neuvolta, mutta se voi säästää organisaatioiden aikaa, rahaa, mainevaurioita ja turhautumista, jos se toteutetaan oikein. Lisäksi ISO 27001 -kehyksen noudattaminen voi tarjota merkittävää liiketoimintaetua osoittamalla sertifioidut tietoturvatietosi nykyisille ja tuleville asiakkaille.

Toimitusketjujen koon ja monimutkaisuuden kasvaessa myös niihin liittyvät kyberriskit kasvavat. Organisaatioiden on ryhdyttävä päättäväisiin toimiin tietojensa ja omaisuutensa suojaamiseksi. Hyödyntämällä resursseja, kuten NCSC:n tarjoamat toimitusketjun kartoitusohjeet ja ottamalla käyttöön ISO 27001 -standardiin perustuva ISMS, organisaatiot voivat vahvistaa toimitusketjun riskienhallintakäytäntöjään ja suojata toimintaansa kehittyviltä kyberuhkilta. Nyt on aika priorisoida ennakoivia toimia näiden haasteiden ratkaisemiseksi suoraan.

Voit lukea koko tietoturvaraportin täältä: https://www.isms.online/state-of-infosec-23/

Lue raportti