Internasjonale cyberbyråer utsteder veiledning i forsyningskjeden etter nylige økninger i cyberangrep
Innholdsfortegnelse:
- 1) Hvorfor fokuserer cyberbyråer på forsyningskjedesikkerhet
- 2) Hvorfor er forsyningskjedesikkerhet så vanskelig å håndtere for bedrifter
- 3) Praktiske trinn for organisasjoner for å sikre forsyningskjeden
- 4) Hvordan ISO 27001 kan muliggjøre bærekraftig forsyningskjedesikkerhet
- 5) Styrk sikkerheten i forsyningskjeden din i dag
I forrige måned, som en del av en felles rådgivende, utstedte styrende organer for cybersikkerhet fra USA, Storbritannia, Australia, Canada og New Zealand offisiell veiledning for cybersikkerhet i forsyningskjeden for å hjelpe organisasjoner med å holde informasjon og data sikker.
Den ferske veiledningen, fokusert på å støtte mellomstore og store bedrifter og de innen organisasjoner som er ansvarlige for risiko-, informasjons- og cybersikkerhetsstyring, vil bidra til å etablere eller forbedre organisatoriske tilnærminger for å vurdere cybersikkerhetsrisikoer i forsyningskjeden.
Hvorfor fokuserer cyberbyråer på forsyningskjedesikkerhet
Supply chain kompromiss har truffet overskriftene i enestående volumer. SolarWinds-angrepet tilbake i 2020 åpnet tilsynelatende slusene, og bruddene vil ikke slutte å komme.
Bare i løpet av den siste måneden så MediBank i Australia over 4 millioner pasientjournaler kompromittert og lekket på nettet. Supeo, en leverandør til DSB, det største tognettet i Danmark, fikk et brudd som fysisk hindret tog i å bevege seg i over to timer. Og Chase UK fikk et angrep som hindret kundene deres i å få tilgang til bankappen deres i nesten to dager.
Ettersom organisasjoner er avhengige av et økende antall leverandører for å levere produkter, systemer og tjenester, øker risikoen for at sårbarheter blir introdusert eller utnyttet via disse leverandørene betydelig. Denne økende kompleksiteten gjør det vanskelig for virksomheter å vite hvor sikker forsyningskjeden deres er og om de har nok beskyttelse på plass.
Til syvende og sist kan disse cyberangrepene ha en ødeleggende innvirkning på virksomheter, med dyre og langsiktige konsekvenser for berørte organisasjoner, deres kritiske leverandører og deres kunder.
Hvorfor er forsyningskjedesikkerhet så vanskelig å håndtere for bedrifter
Til tross for de godt dokumenterte risikoene, mister mange selskaper fortsatt forsyningskjedene sine. Faktisk, ifølge 2022-undersøkelse om sikkerhetsbrudd, "litt over én av ti virksomheter vurderer risikoen fra sine umiddelbare leverandører (13%), og andelen for den bredere forsyningskjeden er halvparten av tallet (7%)."
Cyberrisikoen forbundet med et forsyningskjedeangrep har aldri vært høyere; angripere utvikler angrepsmetoder og verktøy i et stadig mer alarmerende tempo. Likevel, til tross for økende offentlig bevissthet om truslene og økt regulatorisk tilsyn, holder ikke bedrifter tritt.
I følge National Cyber Security Center (NCSC), mens mange organisasjoner forstår at forsyningskjeden deres bør være av bekymring, gjenstår det en:
- mangel på investeringer for å beskytte mot denne cyberrisikoen
- begrenset synlighet i forsyningskjeder
- utilstrekkelig verktøy og ekspertise for å evaluere leverandørenes cybersikkerhet
- mangel på klarhet rundt hva du bør be leverandørene om å gjøre
Disse problemene etterlater forsyningskjeder utsatt og risikerer å bli utnyttet av nettkriminelle.
Praktiske trinn for organisasjoner for å sikre forsyningskjeden
Veiledningen utgitt av cybermyndighetsorganene deler ned den beste tilnærmingen i fem nøkkeltrinn:
-
Forstå hvorfor organisasjonen din bør bry seg om forsyningskjedesikkerhet
Organisasjoner må forstå hva som trenger beskyttelse innenfor deres økosystem og hvorfor det må sikres for å etablere meningsfull kontroll over forsyningskjeden.
Til syvende og sist må effektiv cybersikkerhet passe til dine systemer, dine prosesser, dine ansatte, din kultur og risikonivået du er villig til å ta.
-
Utvikle en tilnærming for å vurdere forsyningskjedesikkerhet
Bestem de kritiske aspektene i organisasjonen din som du trenger å beskytte mest (dine "kronjuveler"), ta i betraktning potensielle trusler, sårbarheter, påvirkning og organisasjonens risikovilje.
Bruk organisasjonens identifiserte nøkkelaspekter, lag en rekke lagdelte leverandørsikkerhetsprofiler. Hver profil bør representere en økende effektskala, og tilordne disse til hver av leverandørene dine.
-
Bruk tilnærmingen på nye leverandørsamtaler
Bygg inn ny sikkerhetspraksis gjennom hele kontraktens livssyklus til nye leverandører, fra innkjøp og leverandørvalg til kontraktslukking.
Denne prosessen bør også begynne å drive bedre sikkerhetsbevissthet blant ansatte og skape en kultur med pågående overvåking av sikkerhet og informasjonsadministrasjon.
-
Integrer tilnærmingen i eksisterende leverandøravtaler
Med en ny tilnærming avtalt, gjennomgå dine eksisterende kontrakter enten ved fornyelse eller tidligere når det gjelder kritiske leverandører.
-
Forbedre kontinuerlig
Regelmessig avgrensning av tilnærmingen din etter hvert som nye problemer dukker opp, vil redusere sannsynligheten for at risikoen påvirker organisasjonen din via forsyningskjeden.
Hvordan ISO 27001 kan muliggjøre bærekraftig forsyningskjedesikkerhet
ISO 27001 er en internasjonalt anerkjent standard for informasjonshåndtering, men det handler egentlig om risikostyring. Og dette er hva veiledningen utgitt av NCSC, CISA, FBI, ACSC, CCCS og NZ NCSC stadig kommer tilbake til, og det er grunnen til at arbeid innenfor ISO 27001-rammeverket vil føre til atferd og sikkerhetsfordeler for enhver bedrift som ønsker å forbedre sin cyberresiliens og skiller seg fra sine konkurrenter.
ISO 27001 råder bedrifter til å ha en enkel prosess på plass for onboarding og administrasjon av leverandører. Fokuser spesielt på følgende:
- keeping infosec retningslinjer, prosedyrer og kontroller oppdatert
- Opprettholde berørte kritiske forretningsinformasjon, systemer og prosesser
- Sørge for å revurdere eventuelle identifiserte risikoer og kontrollere at leverandørene oppfyller løpende sikkerhetskrav
Det kan virke som viktige råd med sunn fornuft, men det kan spare organisasjoner for tid, penger, skade på omdømmet og frustrasjon hvis de implementeres riktig. I tillegg kan det å oppnå samsvar med ISO 27001-rammeverket tilby en betydelig forretningsfordel ved å demonstrere din sertifiserte sikkerhetslegitimasjon til nåværende og fremtidige kunder.
Styrk sikkerheten i forsyningskjeden din i dag
Hvis du ønsker å starte reisen mot bedre forsyningskjedesikkerhet, kan vi hjelpe.
Vår ISMS-løsning muliggjør en enkel, sikker og bærekraftig tilnærming til informasjonshåndtering med ISO 27001, NIST og andre rammeverk. Den tilbyr forsyningskjedesikkerhetsmoduler som raskt kan tas i bruk, tilpasses og legges til over tid for å oppnå vellykket cybersikkerhet og bedre adopsjon av sikker atferd i organisasjonen din. Lås opp konkurransefortrinnet ditt i dag.