Руководство из 10 пунктов по обеспечению кибербезопасности цепочки поставок

Поскольку глобальные цепочки поставок становятся все более цифровыми, компании подвергаются рискам из множества косвенных источников. Система настолько сильна, насколько надежно ее самое слабое звено, и хакеры будут тщательно искать уязвимый компонент.

Эта эксплуатация обходится дорого. Согласно отчету IBM о стоимости нарушения безопасности данных, 5,52 миллиона долларов - это средняя общая стоимость взлома для предприятий с более чем 25 000 сотрудников и 2,64 миллиона долларов для организаций с численностью сотрудников менее 500 человек. Большинство компаний платят хакерам требуемый выкуп. Этим летом Colonial Pipeline Co. и JBS SA заплатили хакерам 4,4 миллиона и 11 миллионов долларов соответственно за восстановление зашифрованных данных после масштабных кибератак.

К другим последствиям относятся нарушение обслуживания клиентов, подрыв доверия и потеря конкурентных преимуществ.

Киберпреступники обходят препятствия и выявляют слабые места, чтобы использовать цепочки поставок более эффективно, чем когда-либо прежде. В случае Colonial Pipeline хакеры злоупотребляли устаревшим профилем виртуальной частной сети (VPN), который требовал только однофакторной аутентификации.

Атаки наносят ущерб не только компаниям, но и клиентам. Восемьдесят процентов нарушений связаны с информацией, позволяющей установить личность (PII). Хакеры используют PII и пароли для доступа к различным учетным записям людей в сети. Кроме того, любой разрыв в цепочке поставок - будь то ваш бизнес, сторонние или сторонние поставщики - влияет на производство товаров и услуг, а также ведет к росту цен.

В отчете о безопасности CrowdStrike - опросе с участием более 1000 участников - две трети старших руководителей ИТ-служб и специалистов по кибербезопасности сообщили, что их организации подверглись атаке на цепочку поставок программного обеспечения. Это же число признало, что их компания не готова должным образом защищаться от взлома в будущем. Компании должны проявлять инициативу и сосредоточиться на повышении киберустойчивости для предотвращения эксплуатации.

Национальный институт стандартов и технологий (NIST), входящий в состав Министерства торговли США, рекомендует следующие шаги для надлежащей защиты ИТ-активов.

Идентификация

Определите потенциальные векторы угроз - маршруты, по которым злонамеренные атаки могут обойти вашу защиту и заразить вашу сеть - путем проведения внутренних оценок рисков и уязвимостей. Рассмотрите возможность найма компании для проведения расширенной оценки.

Защита

Примите необходимые меры для защиты вашей организации и предотвращения угроз:

• Уменьшение экспозиции . Помимо базовой защиты, обеспечиваемой межсетевыми экранами и антивирусным программным обеспечением, жизненно важно установить процедуры привилегированного доступа. Следуйте принципу наименьших привилегий - доступ разрешен только сотрудникам, которым необходим доступ к конфиденциальным данным.

Такие инструменты, как поведенческая аналитика, обнаружение конечных точек и реагирование (EDR), искусственный интеллект (AI) и анализ угроз, могут усилить защиту. Компаниям следует применять методы безопасного кодирования и ссылаться на десятку основных рисков безопасности веб-приложений проекта Open Web Application Security Project (OWASP).

• Приверженность сотрудников и обучение. Сотрудники являются последней линией защиты в кибербезопасности и одним из наиболее распространенных векторов угроз. Очень важно привлечь каждого сотрудника; представительский люкс не является исключением. Сформируйте среди сотрудников культуру здоровой подозрительности. Такой подход может показаться излишне параноидальным, но ставки могут быть высоки.

Организуйте тренинги по повышению осведомленности и внутренние фишинговые кампании, чтобы знакомить сотрудников с новейшими методами спама и социальной инженерии. Любой сотрудник, попавшийся на фишинговую кампанию, должен незамедлительно пройти обучение. Прививайте прочную культуру паролей, в которой сотрудники используют разные и безопасные пароли. Убедитесь, что они понимают, что в случае взлома пароля в одном месте хакеры могут и относительно просто использовать его в других учетных записях, связанных с тем же адресом электронной почты.

Существует бесчисленное множество полезных (и бесплатных) ресурсов по кибербезопасности, доступных для дополнения обучения сотрудников и информирования сотрудников о последних отраслевых тенденциях, таких как модули виртуального обучения, предоставляемые Министерством внутренних дел США. Безопасность.

• Страхование. Убедитесь, что у вас есть соответствующая страховка на случай нападения. Некоторые страховые компании включают средства защиты от программ-вымогателей. Узнайте, какие объекты не были охвачены кибератакой.
• Физическая безопасность . Защитите персонал, оборудование, программное обеспечение, сети и данные от физического вторжения и действий. Рассмотрите такие решения, как камеры наблюдения, охранники, системы безопасности, барьеры, замки, карты доступа, пожарная сигнализация, спринклеры и другие системы, предназначенные для защиты сотрудников и имущества.

Остерегайтесь совмещения. Держать дверь открытой для кого-то, кто входит в офис с занятыми руками, может показаться вежливым, но это создает угрозу безопасности. Убедитесь, что каждый, кто входит на территорию компании, является авторизованным персоналом.

• Выборочные деловые отношения . Кибератаки через сети поставщиков становятся все более распространенными. Согласно исследованию Cyber ​​Resilient Organization Study 2020, проведенному Ponemon Institute, 56% организаций сообщают, что они испытали нарушение кибербезопасности, вызванное сторонним поставщиком. При определении приемлемого уровня риска будьте избирательны при выборе подрядчиков или партнеров для работы с вашей компанией.
• Отчеты об инцидентах . Прививайте хорошую культуру и образование, чтобы сообщать о происшествиях. ИТ-специалисты смогут снизить потенциальный ущерб, если узнают об этом раньше.

Обнаружить

Было сказано, что дом без детекторов дыма - это то же самое, что и сеть без наблюдения. Непрерывный мониторинг событий безопасности должен включать физические среды, сети, поставщиков услуг и активность пользователей. Сканирование уязвимостей - отличный инструмент, и его следует регулярно проводить в системах, содержащих конфиденциальную информацию.

Ответ и восстановление

Очевидна корреляция между временем отклика и стоимостью атаки. Отрасли, которым требуется больше всего времени на обнаружение, реагирование, реагирование и устранение неисправностей, несут самые высокие затраты. Быстрый ответ может помочь смягчить воздействие. Тем не менее, он не может исключить возможность, поэтому всегда делается упор на профилактику.

План аварийного восстановления имеет решающее значение для восстановления доступа к данным и ИТ-инфраструктуры после аварии. Восстановление зависит от размера ущерба.

Составьте план реагирования и дорожную карту устранения всех возможных сценариев инцидентов в форме плана обеспечения непрерывности бизнеса. Включите тактику, которая позволит сохранить бизнес в рабочем состоянии во время бедствия. Определите критичность поставщиков и порядок действий в случае нападения на ключевых поставщиков. Привлекайте поставщиков резервных копий и резервных копий для своих резервных копий на случай, если вам потребуется перейти к другому поставщику для обслуживания клиентов.

В рамках эффективного плана аварийного восстановления рекомендуется моделировать нарушение кибербезопасности не реже одного раза в год. Благодаря этим тренировкам соответствующий персонал понимает свою роль и процедуры, которым необходимо следовать.

Кибербезопасность станет серьезным препятствием для предприятий любого размера по мере усложнения цепочек поставок. Выявите слабые звенья в цепочке поставок, чтобы свести к минимуму уязвимости и предотвратить события угроз. Повышение киберустойчивости подготовит вашу компанию к наихудшему сценарию, который в противном случае был бы более дорогостоящим и опасным.

Марк Льюис - глава отдела информационной безопасности в Visible Supply Chain Management.