Боитесь кибербезопасности цепочки поставок? 5 причин, по которым вы недостаточно напуганы - Часть 2

Оценка рисков кибербезопасности в цепочке поставок

По словам Кэтрин Барриос, директора по маркетингу Xeneta , особенно пагубным аспектом кибератак является то, что угрозы всегда «в движении». .

По самой своей природе злоумышленники пытаются обойти препятствия и принять контрмеры.

Опережать угрозы, такие как атаки программ-вымогателей WannaCry или WannaCrypt и стремительно распространяющийся «Петя», непросто. «WannaCry» затронул более 230 000 компьютеров в более чем 150 странах, причем наибольший ущерб был нанесен Британской национальной службе здравоохранения . Испанская телефонная компания Telefónica и немецкие государственные железные дороги. «Петя» повлиял не только на Maersk Line, а также ИТ-инфраструктуру многих других фирм, например транснациональной фармацевтической компании Merck , рекламодатель WPP , пищевая компания Mondelez , и юридическая фирма DLA Piper .

Когда вирус поражает судоходную компанию, такую ​​как Maersk Line, которая отвечает за поток товаров (флот, контейнеры), волновой эффект на цепочку поставок оказывается быстрым и огромным (Оливия Солон и Алекс Херн, «Атака программ-вымогателей« Петя »:что Это так и как это можно остановить? The Guardian .)

Быстро движущиеся враждебные группы и отдельные лица обладают «настойчивостью, тактическими навыками и технологическим мастерством», чтобы повредить и разрушить основные системы SCM, включая, что зловеще, логистическую цепочку (PWC, US Cybercrime).

Будь то вредоносное ПО («вредоносное программное обеспечение»), использование скомпрометированных учетных данных, доступных в «подпольном» Интернете, распределенный отказ в обслуживании (DDoS) (нарушение работы систем злоумышленником) или SQL-инъекции (внедрение вредоносного кода в структурированный код). Язык запросов), среди прочего, хакеры изобретательны (Дрю Смит, «Безопасна ли ваша цепочка поставок от кибератак?» Supply Chain Quarterly).

Кроме того, хотя обучение сотрудников несколько смягчается, не всегда возможно предотвратить инсайдерские события, вызванные уязвимостями сотрудников. Инсайдерские события могут включать явление социальной инженерии (когда преступник получает доступ к зданиям, системам или информации, используя человеческую психологию сотрудников). Также имеет место случайное использование устройств сотрудниками и неправильное обращение с информацией со стороны сотрудников, которые не придерживаются передовых практик (PWC, US Cybercrime).

Возможный масштаб киберугроз в цепочке поставок

По своей сути, управление цепочкой поставок «помогает поддерживать человеческую жизнь - люди зависят от цепочек поставок в доставке предметов первой необходимости, таких как продукты питания и вода» (CSCMP, Совет специалистов по управлению цепочками поставок, «Важность управления цепочками поставок»).

Любой сбой может вызвать социальный распад. Из-за сбоя компьютера, вызванного Петей, рабочим пришлось вручную контролировать уровень радиации на Чернобыльской АЭС, а киевляне не могли получить доступ к банкоматам. (Николь Перлрот, Марк Скотт и Шира Френкель, «Кибератака поражает Украину, а затем распространяется по всему миру», New York Times ).

Потенциальные риски для жизни в конце июня были вполне реальны - атака с использованием программ-вымогателей распространилась на систему здравоохранения Heritage Valley Health System, которая управляет больницами Heritage Valley Sewickley и Heritage Valley Beaver в Западной Пенсильвании, восточном Огайо и Западной Вирджинии, временно перекрыв HVHS компьютерные системы.

К счастью, единственная фактическая приостановка обслуживания произошла в лабораториях сети доставки медицинских услуг и на сайтах сообщества диагностической визуализации, и эти службы теперь «полностью функциональны». («Последние новости об инциденте кибербезопасности в системе здравоохранения Heritage Valley», Последние новости, HVHS).

Экспортных и импортных компаний по-прежнему «преследуют» задержки с остановкой системы на объектах Maersk и APM Terminals - Maersk Line соответственно отказывается от платы за простой и задержание. (Майк Вакетт, «Кибератаки по-прежнему преследуют Maersk, поскольку он изо всех сил пытается вернуть объемы», The Loadstar ).

Можно только представить себе более масштабное воздействие аналогичного триггерного события в будущем. Следующее нарушение движения людей и товаров в цепочке поставок может привести к более серьезным социальным последствиям, выходящим за рамки простой корпоративной деятельности. ( Всемирный экономический форум , Новые модели управления рисками, связанными с цепочкой поставок и транспортировкой:инициатива сети реагирования на риски в сотрудничестве с Accenture ).

Киберсложность

Еще одна печальная причина того, почему нам «следует опасаться» будущего цепочки поставок / транспортной сети, - это сложность киберугроз.

Майкл Дэниел подробно описывает уровень сложности в своей статье «Почему кибербезопасность так сложна?» Harvard Business Review:

«Киберпространство действует по иным правилам, чем физический мир. Я имею в виду не социальные «правила», а физику и математику киберпространства. Узловая природа сети со скоростью света означает, что такие понятия, как расстояние, границы и близость, работают по-разному, что имеет серьезные последствия для безопасности ».

Поскольку не существует таких вещей, как типичная близость или типичные границы, конструкции и решения «физического мира» не работают.

«Например, в физическом мире мы поручаем федеральному правительству задачу по обеспечению безопасности границ. Но, учитывая физику киберпространства, все сети находятся на границе. Если все живут и работают прямо на границе, как мы можем возложить охрану границы исключительно на федеральное правительство? В физическом мире преступность носит локальный характер - вы должны быть в месте, чтобы украсть объект, поэтому у полиции есть юрисдикция, основанная на физических границах ».

В киберпространстве все иначе. Организации и учреждения касаются новых сложных границ с правовой и политической точек зрения, таких как надлежащее разделение ответственности между правительством и частным предприятием по защите. Защита от рисков (извне или внутри организации) требует значительных инвестиций, чтобы не отставать от угроз.

Борьба с киберрисками в цепочке поставок:большая необходимость действовать

Многие компании не вкладывают необходимые средства в кибербезопасность. Алекс Бау считает, что все сводится к поведенческой экономике («Поведенческая экономика, объясняющая, почему руководители недостаточно инвестируют в кибербезопасность», Гарвард Бизнес-отчет). Конечно, существуют серьезные соображения относительно стоимости. Мировые расходы на кибербезопасность в период с 2017 по 2021 год превысят 1 триллион долларов, при этом многие компании не в состоянии поспевать за ними. (Стив Морган, «Прогноз расходов на кибербезопасность:1 триллион долларов с 2017 по 2021 год», CSO ).

Есть еще надежда. Блокчейн-решения, объединяющиеся для объединения усилий по кибербезопасности, интеллектуальные датчики (Марианна Манншрек, «Как интеллектуальные датчики и Интернет вещей будут развивать цепочки поставок», ITProPortal , дальнейшее обучение ... это все возможные пути к лучшему будущему, в котором (есть надежда) будет меньше причин для опасений.

Автор этого блога - Кэтрин Барриос, директор по маркетингу Xeneta