Gazeta branżowa o łancuchu dostaw
Bezpieczeństwo organizacji

Cyberbezpieczeństwo łańcuch dostaw

Omawiamy 5 kroków, które pozwolą firmie wprowadzić nowe standardy zarządzania bezpieczeństwem łańcucha dostaw […]

www.sisoft.pl/baza-wiedzy/cyberbezpieczenstwo-lancuch-dostaw
Grzegorz Surdyka
12/22/2022
8
min czytania

W dobie digitalizacji, przemysłu 4.0, czy wszechobecnych urządzeń Internetu Rzeczy dbanie o cyberbezpieczeństwo każdej organizacji jest absolutną koniecznością. W grę wchodzi nie tylko ochrona infrastruktury w siedzibie firmy, ale całego łańcucha dostaw! Powiązanie firm i rynków na skalę globalną sprawia, że atak na jeden podmiot może mieć międzynarodowe negatywne konsekwencje. Dlatego zapraszamy do tekstu, w którym omówimy, jak o to zadbać!

Atak na łańcuch dostaw – czym jest?

Atak na łańcuch dostaw to nic innego jak atak na jednego z naszych partnerów – firm i organizacji, z którymi współdziałamy. Poprzez luki w ich zabezpieczeniach cyberprzestępcy mogą dostać się nie tylko do tych firm, ale również – do naszej. Według raportu IBM z 2020 roku, luki w oprogramowaniu odpowiadają za aż 16% takich incydentów. W dodatku incydent taki może przełożyć się na kryzys o skali globalnej. Dlaczego? Łańcuchy dostaw mogą mieć ogromny zasięg i bardzo skomplikowaną sieć relacji, dlatego ataki te mogą być niezwykle trudne do wykrycia. Atak taki – zwany też atakiem na stronę trzecią, czy na łańcuch wartości może być czasem zbagatelizowany, jednak nigdy nie powinien! Bez stosowania surowych zasad bezpieczeństwa i ciągłego budowanie silnej ochrony cała sieć biznesowa może być zagrożona. Tego typu przypadki miały już miejsce – jak chociażby słynny incydent z Solar Winds, gdzie dotkniętych zostało 18 000 klientów tej firmy!  

Jak organizacje powinny dbać o cały łańcuch dostaw?

Aby firma była w pełni bezpieczna w cyberprzestrzeni musi mieć pewność, że ma silne i zaufane relacje z partnerami. Podstawą działań każdej firmy powinno być opracowanie procedur i wdrożenie odpowiedniego modelu zarządzania ryzykiem. Istotna elementem jest również kontrola oraz nieustanne podwyższanie standardów cyberbezpieczeństwa. Poniżej omawiamy 5 kroków, które pozwolą firmie wprowadzić nowe standardy zarządzania bezpieczeństwem łańcucha dostaw.

5 kroków do nowych standardów bezpieczeństwa sieci biznesowej

Model ten pozwala przeanalizować firmie jej obecną sytuację, zidentyfikować sieć relacji oraz wyznaczyć niezbędne do wdrożenia działania. Analiza ta powinna może być dokonywana systematycznie. Od czego należy ją rozpocząć?

Krok pierwszy: zanim rozpoczniesz działania

Zrozum, dlaczego powinieneś dbać o cyberbezpieczeństwo całego łańcucha dostaw

Bez właściwego zrozumienia co powinieneś chronić i dlaczego może być ciężko zbudować odpowiednie relacje z Twoim partnerami. Pomocne mogą być takie pytania jak:

  • Dlaczego Twoja sieć partnerska mogłaby zostać zaatakowana?
  • Kto mógłby stać za takim atakiem i dlaczego?
  • Jakie mogą być cyber-zagrożenia, które mogą spowodować straty?
  • Jakie podatności w sieci mogłyby zostać użyte do ataku?
  • Jakie straty może ponieść Twoja organizacja w takim wypadku?

Zidentyfikuj kluczowych graczy w swojej organizacji, którzy będą mieli wpływ na stworzenie nowej strategii bezpieczeństwa

Aby wprowadzić zmiany i by były one trwałe firma powinna rozważyć:

  • Kogo w organizacji należy przekonać do zmian?
  • Kto powinien być odpowiedzialny za cyberbezpieczeństwo łańcucha dostaw?
  • Kto powinien brać udział w konsultacjach w trakcie tworzenia strategii?
  • Kto powinien być informowany o zmianach i postępach w pracy?

Dzięki temu organizacja powinna móc sprawnie skomunikować osoby na odpowiednich stanowiskach oraz zdefiniować proces zmian – z uwzględnieniem odpowiednich ról, odpowiedzialności i nadzoru nad procesem.

Ustal, jak Twoja organizacja ocenia i będzie oceniać ryzyko w łańcuch dostaw

Bez odpowiedniej ewaluacji ryzyka oraz podjęcia decyzji o tym, do jakiego stopnia organizacja może je ponosić nie będzie można wprowadzić odpowiednich zmian.

Dowiedz się wiecej o bezpieczeństwie w Twojej organizacji

Zainteresował Cię ten temat? Sprawdź naszą usługę testów penetracyjnych.

Krok drugi: Opracuj podejście do weryfikacji cyberbezpieczeństwa łańcucha dostaw

Nadaj priorytety w swojej organizacji, definiując aktywa, które muszą być chronione najbardziej.

Kiedy zostaną już ustalone krytyczne elementy do ochrony łatwo będzie wypracować procedury bezpieczeństwa oraz dopasować kryteria wobec dostawców.

Opracuj kluczowe elementy procedur weryfikacji, które będą obejmowały:

  • profile bezpieczeństwa przypisane do każdego dostawcy,
  • określenie poziomu bezpieczeństwa każdego dostawcy na podstawie kwestionariusza,
  • minimalne wymagania bezpieczeństwa dla każdego profilu, które muszą zostać spełnione,
  • plan zarządzania polityką bezpieczeństwa, w ramach której weryfikowana będzie zgodność dostawców z wymogami bezpieczeństwa oraz czy będzie kontynuowana współpraca z nimi – nawet, jeśli nie są w stanie spełnić wszystkich kryteriów,
  • nowe klauzule dotyczące cyberbezpieczeństwa, które zostaną zawarte w umowach.

Krok trzeci: zaaplikuj nowe podejście do relacji z dostawcami

  • Edukuj swój zespół – upewnij się, że osoby, które będą zaangażowane w ocenę dostawców zostały przeszkolone w odpowiednim zakresie z cyberbezpieczeństwa
  • Włącz rutynową kontrolę cyberbezpieczeństwa w całym czasie trwania kontraktów – cyberbezpieczeństwo powinno być pod uwagę w podejmowaniu decyzji o outsourcingu, przy wyborze dostawców, podpisywaniu umów aż do momentu ich wypowiedzenia lub zakończenia – tylko to zapewni firmie pełną kontrolę nad procesami biznesowymi; warto rozważyć także, jakie praktyki można wprowadzić w przypadku przejęć.
  • Monitoruj poziom bezpieczeństwa dostawców
  • Raportuj postęp do zarządu

Krok czwarty: zintegruj podejście do dotychczasowych dostawców i umów

  • Zidentyfikuj istniejących dostawców
  • Oceń obecne kontrakty pod kątem ryzyka, które ze sobą niosą
  • Wspieraj swoich partnerów w procesie dostosowania się do aktualnych wymogów
  • Przeprowadź weryfikację umów i zapisów w umowach
  • Monitoruj poziom bezpieczeństwa dostawców
  • Raportuj postępy do zarządu

Krok piąty: Nieustannie weryfikuj rezultaty

Po zbudowaniu nowego podejścia do ochrony swojej sieci warto dbać o ciągłość!

  • Nieustannie weryfikuj efekty wprowadzonych zmian oraz ich jakość,
  • Utrzymuj świadomość ewoluujących zagrożeń i odpowiednio aktualizuj praktykę w swojej organizacji w celu zapewnienia bezpieczeństwa w łańcuchu dostaw,
  • Współpracuj z dostawcami, aby osiągnąć najlepsze efekty.

Ataki na łańcuchy dostaw a motywacja cyberprzestępców

Jak pokazują badania europejskiej agencji ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa), która w 2021 roku opublikowała raport nt. ataków na łańcuchy dostaw, blisko 60% incydentów motywowana była chęcią pozyskania danych oraz własności intelektualnej firmy. W dodatku za połowę tych incydentów odpowiadały zorganizowane grupy cyberprzestępców. Posiadają one odpowiedni sprzęt, a także środki i kwalifikacje, by przeprowadzić skuteczny atak. To alarmujące informacje!

Warto zrozumieć, że skala tego zagrożenia będzie tylko rosła. Wykwalifikowani hackerzy grają o wysokie stawki i korzystają z szeregu różnych technik. Jedną z najpopularniejszych jest wykorzystanie malware – czyli złośliwego oprogramowania, które może zainfekować praktycznie każde urządzenie podłączone do Internetu – od telefonu do inteligentnej żarówki. Jego celem może być uszkodzenie funkcjonalności systemu, otworzenie tzw. tylnych drzwi do kolejnych ataków, blokada urządzenia czy kradzież danych.

Inne sposoby, które wykorzystują cyberprzestępcy to: wykrywanie podatności software’u, metody inżynierii społecznej, ataki brute force (technika łamania haseł lub kluczy polegająca na sprawdzeniu wszystkich możliwych kombinacji), czy wykorzystywanie problemów z konfiguracją oprogramowania. W związku z tym, autorzy raportu kładą szczególną wagę na działania związane z ochroną łańcuchów dostaw, a także na ciągłe zarządzanie ryzykiem przez organizację. O to warto zadbać!  

Bądźmy w kontakcie

Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.

Odpowiemy szybciej niż sięspodziewasz.
Formularz został wysłany, wkrótce się odezwiemy :)
Upss! Coś poszło nie tak, sprawdź wszystkie pola i spróbuj ponownie.

Co jeszcze warto wiedzieć na temat cyberbezpieczeństwa?