Пять способов управления киберрисками в цепочке поставок

В настоящее время практически невозможно вести бизнес без помощи сторонних поставщиков, которые помогают в доставке ваших продуктов, систем или услуг. Работа с внешними партнерами может дать множество преимуществ, в том числе более оптимизированные и эффективные процессы для удовлетворения растущих требований клиентов. В то же время новые организации могут нести новые риски, особенно в сфере кибербезопасности. Когда компании объединяются и обмениваются информацией, риск одной компании становится риском всей цепочки.

Кибератаки на цепочки поставок растут, и в первом квартале 2021 года их число в США увеличилось на 42%. Атаки такого типа особенно популярны среди киберпреступников, поскольку они дают возможность проникнуть в целую сеть организаций через единую систему. сторонний поставщик.

К счастью, как и в случае с любым другим видом риска, есть способы управлять этими угрозами до того, как они создадут проблему. Ниже приведены несколько ключевых действий, которые может предпринять ваш бизнес, чтобы свести к минимуму вероятность атаки на вашу цепочку поставок.

Проведите оценку рисков. Вступая в отношения с новыми поставщиками, важно знать, где они находятся в отношении кибербезопасности. Какие средства контроля у них есть? Какие процессы и политики используются для обеспечения надежной защиты данных? Если вы передаете своим поставщикам какие-либо данные, особенно конфиденциальную информацию о клиентах, вы хотите знать, что они останутся в безопасности.

Также неплохо подумать, насколько важными будут отношения с поставщиками в целом. Будет ли он частью вашей непосредственной цепочки поставок или будет помогать на разовой основе? Все партнеры должны пройти проверку, но те, кто играет важную роль в вашей цепочке поставок, будут нести больший риск и требуют большей осторожности.

Установите требования безопасности. Чтобы способствовать прозрачным отношениям с вашими поставщиками и установить четкие ожидания между вами, может быть полезно составить политику поставщика.

С помощью такого документа вы можете выделить разделы, посвященные кибербезопасности и защите данных, с указанием уровня безопасности, который ваши поставщики должны продемонстрировать. Один из самых простых способов сделать это - попросить своих поставщиков согласиться с существующим набором стандартов и сертификатов кибербезопасности. В США наиболее популярны стандарты ISO 27001, признанные во всем мире, и структура NIST. В Великобритании государственный стандарт кибербезопасности Cyber ​​Essentials помогает компаниям снизить риск на 80% за счет соблюдения пяти важнейших технических средств контроля. Соблюдение этих стандартов может быть простым способом для ваших поставщиков продемонстрировать хорошую позицию в области кибербезопасности.

Когда вы предъявляете какие-либо требования к безопасности вашим поставщикам, лучше всего убедиться, что ваш собственный бизнес уже им соответствует. Участвуя в цепочке поставок, вы связываете себя со всеми, кто в ней участвует; любые улучшения, которые вы вносите в свои собственные меры безопасности, только укрепят всю цепочку.

Проведите тренинг по кибербезопасности. Человеческая ошибка по-прежнему остается главной причиной кибератак. По сути, это один из важнейших элементов, требующих решения. Хотя вы всегда должны работать над формированием культуры осведомленности о кибербезопасности в своей компании, эту практику также следует поощрять по всей цепочке поставок.

Рассмотрите возможность совместного использования ресурсов с поставщиками, чтобы помочь им обучить своих сотрудников киберрискам. В Интернете есть множество бесплатных упражнений и статей, предлагающих рекомендации для бизнеса.

Безопасная передача данных. Данные в цепочке поставок должны передаваться по безопасным каналам и всегда защищены. Хакеры, скорее всего, перехватят данные, когда они перемещаются из одного места в другое, поэтому очень важно поддерживать хорошую безопасность во время этого процесса. Шифрование данных перед их передачей - отличный способ минимизировать этот риск.

Компаниям также следует убедиться, что у них есть полное представление о различных видах данных, хранящихся в их цепочке поставок, и о том, где они все расположены. Сюда входят внутренние данные (плюс системы резервного копирования) и данные, к которым имеют доступ ваши поставщики. Эта информация, вероятно, будет иметь разную степень чувствительности. Некоторые из них могут быть очень конфиденциальными, в то время как другая информация общедоступна. Вы можете помочь предотвратить попадание данных в чужие руки, правильно классифицируя и маркируя их, чтобы знать, где находится наиболее ценная информация.

Помните, что вы тоже чей-то поставщик. Чаще всего хакер нацеливается на малый бизнес, чтобы получить доступ к остальной части своей цепочки поставок, ожидая, что его киберзащита будет минимальной или вообще отсутствует. Мы увидели это в одной из первых крупных атак на цепочку поставок, которая поразила СМИ в 2013 году, когда сторонний подрядчик, работавший с Target, был скомпрометирован, что позволило хакерам украсть данные о миллионах кредитных карт клиентов из внутренней сети продавца.

Малые предприятия не только должны учитывать безопасность своих поставщиков, но также должны поддерживать высокие стандарты кибербезопасности, чтобы убедить более крупных партнеров в том, что они не представляют угрозы для безопасности. Многие компании, особенно в государственном секторе, теперь требуют, чтобы все их поставщики соблюдали определенные стандарты безопасности, прежде чем заключать с ними контракты.

Управление киберугрозами в цепочке поставок не должно быть сложной задачей, но важно брать на себя ответственность за собственный риск и поддерживать единые стандарты кибербезопасности. В интересах любого бизнеса знать процессы, политики и решения безопасности всех партнеров. Эти шаги не только снижают риск для всей цепочки поставок, но и демонстрируют клиентам, партнерам и заинтересованным сторонам, что их секреты в безопасности.

Клайв Мэддерс - технический директор Cyber ​​Tec Security .