Malé a střední podniky (SMB) se nemusí spoléhat na složité dodavatelské řetězce, které provozují globální společnosti. Mnohé z nich jsou však závislé na dodavatelích a dalších obchodních partnerech, a proto si musí být vědomy kybernetických bezpečnostních hrozeb, které mohou ovlivnit bezpečnost dodavatelského řetězce.
Ransomware může být, z hlediska kybernetické bezpečnosti dodavatelského řetězce, znepokojující hrozbou. Dříve se stávalo, že takové útoky byly zaměřeny výhradně na jednu organizaci. Nyní útočníci útočí i na společnosti, které mají rozsáhlé partnerské ekosystémy, čímž mohou způsobit mnohem větší škody.
Například ransomware, jako je REvil, může vstoupit do jedné společnosti a rychle se rozšířit na mnoho jejích firemních zákazníků, z nichž každý má své vlastní dodávky a další partnery, kteří zase mají své vlastní partnery. Je snadné pochopit, jak může být dopad jediného útoku ničivý.
Nejzranitelnější místa zabezpečení dodavatelského řetězce
V případě ransomwaru mají dodavatelské řetězce obvykle více zranitelných míst, která je činí náchylnými k těmto hrozbám. Jednou z nich je využívání dodavatelů třetích stran. Ti mohou být různí, od dodavatelů materiálů přes poskytovatele IT služeb a konzultanty, až po společnosti zabývající se vzduchotechnikou - všichni s různou úrovní vyspělosti a dovedností v oblasti kybernetické bezpečnosti.
Další zranitelností je rostoucí využívání cloudu k udržování spojení s partnery. Cloud nabízí potenciální výhody, jako je větší flexibilita a úspora nákladů. Může však také vytvářet problémy z hlediska přehlednosti a přístupu, které mohou způsobit, že společnosti budou zranitelnější.
Potenciálně zranitelné jsou také společnosti, které občas potřebují poskytnout partnerům digitální nebo fyzický přístup. Firmy například musí umožnit dodavatelům softwaru dodávat aktualizace nebo záplaty aplikací.
Kromě toho společnosti z velké části nemohou kontrolovat postupy kybernetické bezpečnosti všech svých partnerů. Mohou sice ve smlouvách s prodejci a dodavateli nařídit určité požadavky, ale často jde o důvěru, že partneři dělají vše pro to, aby byly sítě, systémy a data v bezpečí.
Národní institut pro standardy a technologie (NIST) upozornil, že rizika kybernetické bezpečnosti dodavatelského řetězce pokrývají rozsáhlé spektrum oblastí. Mezi obavy podle NIST patří rizika plynoucí z:
Poskytovatelé služeb nebo dodavatelé třetích stran - od úklidových služeb po softwarové inženýrství - s fyzickým nebo virtuálním přístupem k informačním systémům, softwarovému kódu nebo duševnímu vlastnictví.
Špatné postupy zabezpečení informací u dodavatelů nižší úrovně.
Zkompromitovaný software nebo hardware zakoupený od dodavatelů.
Zranitelnosti zabezpečení softwaru v systémech řízení dodavatelského řetězce nebo dodavatelů.
Padělaný hardware nebo hardware se zabudovaným malwarem.
Úložiště dat třetích stran nebo agregátory dat.
Není divu, že poptávka po zabezpečení dodavatelského řetězce roste. Zpráva společnosti Research and Markets ze srpna 2021 předpokládá, že globální trh se zabezpečením dodavatelského řetězce vzroste z 903 milionů dolarů v roce 2021 na 1,22 miliardy dolarů v roce 2026.
Osvědčené postupy pro kybernetickou bezpečnost dodavatelského řetězce
Podle pokynů NIST nelze kybernetickou bezpečnost v dodavatelském řetězci považovat pouze za problém IT. "Kybernetická rizika v dodavatelském řetězci se dotýkají zajišťování zdrojů, řízení dodavatelů, kontinuity a kvality dodavatelského řetězce, bezpečnosti přepravy a mnoha dalších funkcí v podniku, a vyžadují koordinované úsilí při jejich řešení," uvedl institut.
Společnosti musí vyvíjet svou obranu založenou na předpokladu, že jejich systémy budou v určitém okamžiku narušeny, uvedl NIST. Otázkou pak není jen to, jak narušení zabránit, ale jak zmírnit schopnost útočníka zneužít informace, ke kterým získal přístup, a jak se z útoku zotavit.
"Kybernetická bezpečnost nikdy není jen problémem technologií, ale lidí, procesů a znalostí," poznamenal NIST. "Narušení bývají méně spojena se selháním technologie a více s lidskou chybou. Bezpečnostní systémy IT nezabezpečí kritické informace a duševní vlastnictví, pokud zaměstnanci v celém dodavatelském řetězci nebudou používat bezpečné postupy kybernetické bezpečnosti."
Podniky by si měly položit několik otázek o svých hlavních dodavatelích, aby pomohly snížit bezpečnostní rizika dodavatelského řetězce, uvedl NIST. Zde je několik příkladů:
Je proces návrhu softwaru/hardwaru dodavatele zdokumentován, je opakovatelný a měřitelný?
Je minimalizace známých zranitelností zohledněna v návrhu a architektuře produktu, v technikách ochrany při jeho spuštění a v revizi kódu?
Jak dodavatel udržuje aktuální informace o nově vznikajících zranitelnostech, a jaké jsou jeho schopnosti řešit zranitelnosti "zero day"?
Jaké kontrolní mechanismy jsou zavedeny pro správu a monitorování výrobních procesů?
Jaké úrovně ochrany a detekce malwaru jsou prováděny, a jaké kroky jsou podnikány, k "zabezpečení" produktů proti neoprávněné manipulaci?
Jaký typ prověrek zaměstnanců se provádí a jak často?
Jak bezpečný je proces distribuce?
Firmy mohou přijmout další osvědčené postupy, které jim pomohou řídit rizika kybernetického dodavatelského řetězce, uvedl NIST. Patří mezi ně zahrnutí požadavků na kybernetickou bezpečnost do všech žádostí o vypracování nabídek a smluv, přímá spolupráce s partnery při řešení případných zranitelností a bezpečnostních nedostatků, získávání zdrojových kódů veškerého nakupovaného softwaru, zavedení programů sledování a dohledávání dílů, komponent a systémů, a zavedení přísných kontrol přístupu dodavatelů služeb.
Poskytovatelé správy služeb
Je pravděpodobné, že mnoho malých a středních společností nebude mít zdroje potřebné k tomu, aby se samy postaraly o zabezpečení celého dodavatelského řetězce. V těchto případech může být užitečný zkušený poskytovatel řízených bezpečnostních služeb s odbornými znalostmi v oblasti dodavatelského řetězce. Společnosti mohou tyto poskytovatele využít k zajištění co nejbezpečnějšího fungování dodavatelského řetězce, a co nejlepšího využití nástrojů, procesů a lidí ve snaze o jeho zabezpečení.
Přečtěte si více o tom, jak vám může výzkum třetích stran pomoci vybrat lepší bezpečnostní řešení.