Атаките срещу веригата на доставки засягат 25% от фирмите

Pixabay.com
Tumisu

Атаките срещу веригата на доставки засягат 25% от фирмите

Веригата на доставки е само толкова силна, колкото силно е най-слабото й звено

Мария Динкова
225 прочитания

Pixabay.com

© Tumisu


През последните две години предизвикателствата по веригата на доставки засегнаха както компаниите, така и потребителите, ограничавайки достъпа до определени стоки или затруднявайки работата на бизнеса.

Всъщност пандемията от COVID-19 разкри колко сериозни могат да са последствията от редица рискове, включително от заплахите за сигурността. Затова за компаниите в днешно време става все по-ключово да са в течение как се променят опасностите, къде имат пропуски и как те могат да бъдат преодолени.

Ново проучване на ISACA показва кои са основните притеснения за ИТ експертите, свързани със сигурността по веригите на доставки, и как техните организации се справят с трудностите. Изследването Supply Chain Security Gaps: A 2022 Global Research Report е базирано на мненията на над 1300 глобални ИТ специалисти с експертиза в сферата.

"Веригата на доставки е само толкова силна, колкото силно е най-слабото звено - и често има много звена. Всяка мрежа в нея трябва да може да разчита на останалите, така че веригата да работи гладко и ефективно", се посочва в доклада. Това означава, че доверието е необходимо, за да се гарантира една добре функционираща система. Експертите обаче предупреждават, че с всеки изминал ден киберпрестъпниците стават все по-добри и усещането за увереност може да изиграе лоша шега на организациите.

Данните показват, че по-малко от половината анкетирани споделят, че са сравнително уверени в сигурността на веригата на доставки на своите организации. Добрата новина е, че само 7% са изключително убедени във фирмените защити.

Водещите рискове

Според анкетираните основните рискове, свързани с веригата на доставки, които са много или изключително притеснителни, обхващат:

  • рансъмуер (73%)
  • лоши практики за информационна сигурност от страна на доставчиците (66%)
  • софтуерни уязвимости на сигурността (65%)
  • сторидж на данни на трети страни (61%)
  • доставчици на услуги на трети страни с физически или виртуален достъп до информационните системи, софтуерния код или IP (55%).

Всъщност уязвимостите по веригата на доставки могат да се проявят по различни начини - те могат да бъдат от икономически до екологични, което прави управлението на всички рискове или дори предвиждането им много предизвикателно.

Всяка година броят и сложността на атаките срещу веригата на доставки продължават да се увеличават. 25% от организациите докладват, че са станали жертва на такова нападение през последните 12 месеца. 47% от анкетираните очакват през следващата половин година ситуацията да се подобри, същият процент предвиждат да се запази същата, а според 6% ще се влоши.

Недостатъчна подготовка

Изследването на ISACA разкрива още, че организациите не са достатъчно подготвени за потенциалните заплахи срещу веригите на доставки. Експертите посочват, че компаниите трябва да въведат значителни подобрения, особено при извършването на тестове и одити, така че атаките да могат да бъдат идентифицирани и преодолени още преди да са започнали.

Според проучването почти половината организации (47%) не извършват тестове за сканиране за уязвимости, или т.нар. пенетрейшън тестове. В същото време 1 от 5 запитани споделя, че процесът на оценка на доставчика не включва киберсигурността или неприкосновеността. 39% пък разкриват, че не са разработили планове за реакция при инцидент с доставчиците си в случай на киберзаплаха.

Като цяло 84% от анкетираните отбелязват, че веригата на доставки на техните организации се нуждае от по-добро управление, отколкото е налично в момента. С други думи, числата ясно показват, че е необходимо въвеждането на значителни подобрения при сигурността по веригата на доставки.

Какво да подобрим

Сред ключовите фактори за успех е установяването на постоянен канал за комуникация с експертите по сигурност на ключови доставки в ИТ веригата на доставки на една организация. Подобно партньорство ще гарантира, че споделянето на информацията се случва двустранно, като това ще позволи на фирмата да прави неформални запитвания към доставчиците на ежедневна база, а не само при официални одити. Близките връзки ще дадат възможност също така да се поддържа диалог, по време на който да се споделят данни без притеснение от негативни последствия.

От ISACA съветват още организациите да предприемат пет стъпки, за да подобряват сигурността на своите ИТ вериги на доставки:

1. Не може да се защити това, което не се знае. Организациите за целта трябва да разработят и поддържат списък с доставчиците и възможностите, които те осигуряват. Добра идея е да се включи класификация на риска за всеки вендор на база на неговата сравнителна стойност и важност за компанията.

2. Изисквайте разкриване на софтуерните компоненти с отворен код. Използването му е важно за успеха на много приложения и на доставчиците, защото им помага да бъдат в крак с иновациите, които потребителите очакват. Много от хардуерните и софтуерните компоненти в модерните ИТ системи включва софтуер с отворен код. За да се избягват обаче рисковете, свързани с него, е добре да се изисква доставчиците да разкриват детайли за компонентите, използвани в продуктите и услугите.

3. Анализирайте заплахите и уязвимостите на ключови трети страни за вашия бизнес. Използването на базирана на сценарии методология ще позволи на организацията да идентифицира възможностите за атаки и свързаните уязвимости. Фокусът на анализите трябва да е насочен върху идентифициране на най-вероятните сценарии, които биха довели до материални последствия и биха засегнали способностите на организацията да оперира ефективно.

4. Създайте допълнение за техническите и организационните мерки към договорите за веригата на доставки. По този начин третите страни ще разполагат с насоки за това какви са очакванията и изискванията по отношение на сигурността, за да могат да работят с вашата компания.

5. Доверявайте се, но проверявайте. В тази връзка е добре да извършвате проверки, базирани на доказателства за важни трети страни. Експертите съветват въпросниците да включват всеобхватни запитвания, свързани със сигурността, а отговорите да бъдат подкрепени с доказателства.

Макар веригите на доставки да са изложени на множество рискове, именно сега е най-подходящият момент да се приложат по-силни мерки за управление и сигурност.

През последните две години предизвикателствата по веригата на доставки засегнаха както компаниите, така и потребителите, ограничавайки достъпа до определени стоки или затруднявайки работата на бизнеса.

Всъщност пандемията от COVID-19 разкри колко сериозни могат да са последствията от редица рискове, включително от заплахите за сигурността. Затова за компаниите в днешно време става все по-ключово да са в течение как се променят опасностите, къде имат пропуски и как те могат да бъдат преодолени.

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК