Боитесь кибербезопасности цепочки поставок? 5 причин, по которым вы недостаточно напуганы - Часть 1

Многие организации и эксперты по цепочкам поставок обеспокоены кибербезопасностью. Риски, связанные с киберугрозами цепочки поставок, реальны. На самом деле опасность более пугающая и потенциально вредная, чем мы думаем. Вот почему.

Оценка уязвимостей безопасности цепочки поставок в киберпространстве

Эксперты по кибербезопасности и управлению цепочками поставок (SCM) любят обращать внимание на тот факт, что операционные системы настолько сильны, насколько сильны их «самое слабое звено». Аргумент «самое слабое звено» не зря приводится при обсуждении управления рисками, - говорит Кэтрин Барриос, директор по маркетингу Xeneta . .

Неважно, насколько сильна ваша сетевая безопасность - если в ней есть хрупкость, это все, что имеет значение, это все, что нужно. Независимо от того, является ли уязвимость следствием плохого внутреннего контроля безопасности или внешней опасности, скомпрометированное звено может поставить под угрозу всю глобальную цепочку поставок.

Уязвимость цепочки поставок в разгар крупнейшего нарушения кибербезопасности, поразившего судоходную отрасль - взлома датского морского гиганта AP Moller-Maersk Системы информационных технологий в июне 2017 года - это, мягко говоря, нервное напряжение. Нарушение правил по-прежнему вызывает шатание в международной судоходной отрасли.

Одна атака с использованием программ-вымогателей (вариант «Пети», происходящая из вредоносного украинского обновления программного обеспечения, плюс фишинговые электронные письма) привела к почти катастрофическому отказу систем глобальной цепочки поставок. Были закрыты терминалы в портах Нью-Йорка, Нью-Джерси, Майами, Лос-Анджелеса и Роттердама. Терминалы, которыми управляет Maersk Line, такие как трест Джавахарлала Неру возле Мумбаи, крупнейшего контейнерного порта Индии, не могли загружать или разгружать, потому что они не могли отследить происхождение грузов.

Порт Гетеборг и многие другие порты перешли на ручную обработку в течение нескольких часов. Замораживание поставок на контейнерном терминале Южной Флориды привело к задержке заказов розничных продавцов (в том числе некоторых важнейших товаров).

Отставание контейнеров продолжается. Влияние на репутацию Maersk велико. Финансовые убытки от перебоев в производстве и поставках товаров клиентам в нескольких странах для многих компаний слишком дороги, чтобы их перечислить на данном этапе.

Учитывая, что 90% мировой торговли транспортируется по морю (Maersk обслуживает около 600 контейнеровозов и 25% контейнеров отправляется в Азию и Европу и из них) (Якоб Гронхольт-Педерсен, «Maersk заявляет, что глобальный сбой ИТ вызван кибератакой» Reuters.com ), воздействие такого цифрового разрушения на коммуникационные системы все более взаимозависимой и сложной цепочки поставок имеет далеко идущие последствия. Reuters:«Глобальный судоходный гигант Maersk не оправился от последствий вымогательства», Fortune .

«Чтобы не преувеличивать, но в том, что сетевые модели безопасности« сильны настолько, насколько сильны самые слабые звенья », есть большая доля правды, - пишет Пол Мартин,« Рискованный бизнес . :Кибербезопасность и управление цепочками поставок », Forbes . «И поскольку крупный бизнес будет продолжать использовать аутсорсинг и осваивать новые рынки клиентов и поставок, масштабы проблемы резко возрастают».

Практически во всех отраслях компании более чем когда-либо зависят от поставщиков, посредников, облачных систем связи, сторонних поставщиков услуг и поставщиков в сети цепочки поставок. «Спрос на постоянное онлайн-общение создает для хакеров огромные возможности использовать слабые методы обеспечения безопасности поставщиков в качестве точки входа в их конечную цель», - добавил Стив Бриджес, старший вице-президент JLT Specialty , страховая брокерская компания, специализирующаяся на страховании от киберпространства (Мартин, «Рискованный бизнес»).

Именно через одного из поставщиков Target - компанию HVAC - хакер смог проникнуть в систему, вызвав «кошмар перед Рождеством» для продавца и его клиентов (украл информацию о кредитных и дебетовых картах до 70 миллионов человек) в 2013 г. (Мэгги МакГрат, «Целевая утечка данных привела к утечке информации на целых 70 миллионов клиентов», Forbes.)

Роль и риск поставщиков в нарушениях безопасности в цепочке поставок были дополнительно подчеркнуты недавней утечкой данных в Verizon . , крупнейший в США оператор беспроводной связи. Verizon использовала израильское программное обеспечение для телефонной связи и фирму по обработке данных, NICE Systems . проводить аналитику обслуживания клиентов. Инцидент был обнаружен в конце июня 2017 года.

Сотрудник NICE Systems оставил данные миллионов клиентов на незащищенном Amazon сервер за предыдущие полгода. (Тодд Хэзелтон, «Verizon реагирует на взлом, затронувший миллионы учетных записей клиентов», CNBC .)

И покупатель, и продавец сталкиваются с потенциальной катастрофой в экосистеме цепочки поставок. На покупателей возложена тяжелая ноша по обеспечению предельных уровней безопасности для всех партнеров-поставщиков. В свою очередь, поставщики подвергаются постоянному риску юридической ответственности со стороны клиентов, если проблема безопасности будет связана с ними. (Мартин, «Рискованный бизнес».)

Часть 2 продолжится завтра…

Автор этого блога - Кэтрин Барриос, директор по маркетингу Xeneta