Mitä Capitan rikkomus kertoo meille toimitusketjun riskin hallinnasta
Sisällysluettelo:
Kun IT-ulkoistusjätti Capita joutui lunnasohjelmarikkomukseen maaliskuussa, se yritti parhaansa mukaan hallita median kertomusta. Mutta tällaisilla toimitusketjun tapauksilla on tapana paeta jopa parhaiten perehtyneitä PR-tiimejä. Muutaman viikon Capitan uutisten jälkeen tuli yrityksen pahin painajainen: yritysasiakkaiden rikkomusilmoitusten tulva. Uhrien määrä on nyt noussut ainakin 90:een tämän ja toisen pilvipalvelun virheellisen konfiguroinnin yhteydessä.
Turvallisuus- ja vaatimustenmukaisuustiimeille on tarjolla paljon takeaway-tuotteita. Mutta ne voidaan tiivistää yhteen ideaan. Sinulla voi olla maailman paras kyberriskinhallintaohjelma, mutta organisaatiosi voi silti olla kriittisesti alttiina tapauksille, jos se ei kata toimitusketjua.
Mukaan yksi arvio viime vuonna 98 % maailmanlaajuisista organisaatioista kärsi toimitusketjun rikkomisesta vuonna 2021. On aika laajentaa näkyvyyttä ja valvontaa yrityksen sisältä ja ulkopuolelle.
Mitä Capitalle tapahtui?
Capita on ollut tiukkasanainen "tapahtumasta", jonka se sanoo tapahtuneen 22. maaliskuuta, paljastaen vain tähän päivään mennessä että "jotkin tiedot suodatettiin alle 0.1 prosentista sen palvelintilasta". Itse asiassa, raportteja että lunnasohjelmaryhmä BlackBasta oli murron takana, ja uhrien henkilö- ja pankkitilitietoja on jo myyty pimeässä verkossa. Tällä on jyrkät seuraukset yrityksen monille yritysasiakkaille ja viime kädessä heidän asiakkailleen.
Capitalla on miljardien punnan arvoisia sopimuksia valtion ja yksityisen sektorin asiakkaiden kanssa, mukaan lukien Royal Mail, Axa ja USS, yksi Ison-Britannian suurimmista eläkerahastoista. Regulator Information Commissioner's Office (ICO) on tulvinut näiden asiakkaiden rikkomusilmoituksilla. Samaan aikaan eläkevalvontaviranomainen (TPR) on kuulemma kirjoittanut yli 300 rahastolle ja pyydä heitä tarkistamaan, onko vaikutus myös niihin kohdistunut.
Capita ei ole ensimmäinen eikä viimeinen lähde toimitusketjun kyber riski. Vielä äskettäin suuret tuotemerkit, kuten BA, Boots ja BBC, jäivät kiinni henkilö- ja taloustietojen rikkomisesta, joka vaikutti henkilöstöön ja mahdollisiin asiakkaisiin. Syyllinen? Virhe MOVEit-nimisessä tiedostonsiirtotyökalussa, jota heidän palkanlaskennan tarjoajansa Zellis käytti. Uskotaan, että tuhansia yrityksiä, suoria ja epäsuoria ohjelmistokäyttäjiä, on saatettu vaikuttaa.
Miksi toimitusketjun riskiä on vaikea hallita
Koska molempien rikkomusten vaikutukset ovat edelleen otsikoissa kaikkialla maailmassa, nyt on aika ymmärtää toimitusketjun riskit paremmin. CyberSmartin toimitusjohtaja Jamie Akhtar väittää, että Capitan tapaus on yksi parhaista esimerkeistä toimitusketjujen turvallisuusriskeistä.
"Se toimii varoituksena Ison-Britannian liike-elämälle. Jos kuulut toimitusketjuun, kyberrikolliset yrittävät kohdistaa sinut ennemmin tai myöhemmin – mahdollisuus aiheuttaa häiriöitä tai varastaa tärkeitä tietoja on liian hyvä jättää huomiotta”, hän sanoo. "Niinpä kehotamme kaikenkokoisia yrityksiä miettimään toimitusketjuaan ja sen riskejä."
Simon Newman, The Cyber Resilience Center for London lisää, että hyökkääjät kohdistavat yhä useammin suuriin ja monimutkaisiin toimitusketjuihin, koska yrityksen sisäiset tietoturvatoimet ovat parantuneet.
”Kysymys vaarantaa toimittajan turvallisuutta ei ainoastaan tarjoa mahdollista takaovea suurempiin organisaatioihin, vaan koska kolmas osapuoli todennäköisesti toimittaa tuotteita tai palveluita myös muille yrityksille, se tarkoittaa, että hyökkäyksen laajuus ja laajuus on paljon suurempi", hän varoittaa.
Joten miksi toimitusketjun riskiä on niin vaikea hallita?
Toimitusketjuhyökkäys voi olla monimuotoista. Voi olla, että yritystietoja hallinnoi toimittaja, jota myöhemmin rikotaan (kuten Capita tai Blackbaud). Voi olla, että verkkoosi kirjautuneen toimittajan tai kumppanin vaarantuminen antaa hakkereille pääsyn organisaatiosi IT-resursseihin ja tietoihin. Tämä tapahtui massiivisessa 2013 Tavoiterikkomus. Tai voi jopa olla, että useat vaarantuneiden ohjelmistojen jatkokäyttäjät saavat tartunnan sen jälkeen, kun hakkerit ovat istuttaneet haittaohjelmia tai hyödyntäneet siinä olevia bugeja, kuten tapahtui MOVEitin ja Kiinnitys.
Kun digitaalinen muutos jatkuu vauhdilla, toimittajien kyberhyökkäyspinta kasvaa edelleen. Niiden IT-ympäristöt muuttuvat jatkuvasti ja vaativat läheistä ja mieluiten jatkuvaa valvontaa. Mutta tätä ei tapahdu. Mukaan Kansallinen tietoturvakeskus (NCSC), eräät toimitusketjun riskienhallinnan tärkeimmistä haasteista ovat perusasioiden saaminen oikein, kuten:
- Köyhään liittyvien riskien ymmärtäminen toimitusketjun turvallisuus
- Investoi enemmän riskien vähentämiseen
- Näkyvyyden parantaminen toimitusketjuissa
- Oikeiden työkalujen ja asiantuntemuksen hankkiminen toimittajien kyberturvallisuuden arvioimiseksi
- Ymmärtää, mitä kysymyksiä toimittajilta kysyä
Valitettavasti nykyiset toimet eivät riitä. Hallituksen raportin mukaan, vain noin joka kymmenes (10 %) yrityksistä arvioi tavarantoimittajien aiheuttamat riskit. Kuten edellä mainittiin, raportissa mainittuja esteitä ovat raha, taidot, priorisointi ja oikean tiedon saaminen toimittajilta. Mutta myös tärkeää on tietää, mitkä toimittajat on tarkistettava ja mitkä tarkastukset suoritettava. Tämä on kansainvälinen paikka standardeja, kuten ISO 27001 voi auttaa.
Miten ISO 27001 voi auttaa?
IBM:n mukaan, 20 % tietomurtotapauksista johtuu toimittajilta, ja niiden keskimääräiset kustannukset ovat 4.46 miljoonaa dollaria rikkomusta kohti, mikä on enemmän kuin kaikkien tietomurtotyyppien keskiarvo (4.35 miljoonaa dollaria). Pelkästään tämän pitäisi riittää keskittymään mielen tehtävään toimitusketjun hallinta riskiä tehokkaammin. Mutta miten? Harkitse ensin NCSC:n toimitusketjun kartoitusta (SCM) ohjaus, joka auttaa sinua ymmärtämään, keitä toimittajasi ovat, mitä he tarjoavat ja miten ne tarjoavat. Tämän pitäisi mahdollistaa tehokkaampi riskiperusteinen päätöksenteko.
Toimittajien turvallisuuden arviointi ja hallinta on myös tärkeä osa tietoturvan hallintajärjestelmää (ISMS). ISO 27001 voi kertoa sinulle, miten pääset sinne seuraavien vaiheiden avulla:
- Muodollisen toimittajien politiikan laatiminen, jossa määritellään vaatimukset kolmansiin osapuoliin liittyvien riskien vähentämiseksi
- Näiden vaatimusten soviminen ja dokumentointi kunkin toimittajan kanssa
- Tarkastustoimittajilla on käytössään prosessit, jotka täyttävät asianmukaisen perusturvatason (mukaan lukien heidän omat toimitusketjunsa). Tämä voidaan tehdä kohdistetuilla auditoinneilla, kyselyillä tai ISO 27001 -akkreditointitarkastuksilla.
- Säännöllisesti päivitettävän luettelon ylläpitäminen hyväksytyistä toimittajista
- Arvioi säännöllisesti, täyttävätkö toimittajat turvallisuusvaatimukset.
- Varmista, että kaikki tekniikan tai prosessin muutokset merkitään viipymättä ja että ymmärrät niiden vaikutuksen toimittajariskiin.
Toimitusketjujen koon ja monimutkaisuuden kasvaessa myös kyberriski kasvaa. On aika ryhtyä toimiin.
Yksinkertaista toimitusketjun hallintasi jo tänään
Ota selvää, kuinka ISMS-ratkaisumme mahdollistaa yksinkertaisen, turvallisen ja kestävän lähestymistavan toimitusketjun hallintaan ja tiedonhallintaan ISO 27001:n ja yli 50 muun viitekehyksen avulla.
