Internasjonale cyberbyråer utsteder veiledning i forsyningskjeden etter nylige økninger i cyberangrep

I forrige måned, som en del av en felles rådgivende, utstedte styrende organer for cybersikkerhet fra USA, Storbritannia, Australia, Canada og New Zealand offisiell veiledning for cybersikkerhet i forsyningskjeden for å hjelpe organisasjoner med å holde informasjon og data sikker.   

Den ferske veiledningen, fokusert på å støtte mellomstore og store bedrifter og de innen organisasjoner som er ansvarlige for risiko-, informasjons- og cybersikkerhetsstyring, vil bidra til å etablere eller forbedre organisatoriske tilnærminger for å vurdere cybersikkerhetsrisikoer i forsyningskjeden. 

Hvorfor fokuserer cyberbyråer på forsyningskjedesikkerhet

Supply chain kompromiss har truffet overskriftene i enestående volumer. SolarWinds-angrepet tilbake i 2020 åpnet tilsynelatende slusene, og bruddene vil ikke slutte å komme.  

Bare i løpet av den siste måneden så MediBank i Australia over 4 millioner pasientjournaler kompromittert og lekket på nettet. Supeo, en leverandør til DSB, det største tognettet i Danmark, fikk et brudd som fysisk hindret tog i å bevege seg i over to timer. Og Chase UK fikk et angrep som hindret kundene deres i å få tilgang til bankappen deres i nesten to dager.  

Ettersom organisasjoner er avhengige av et økende antall leverandører for å levere produkter, systemer og tjenester, øker risikoen for at sårbarheter blir introdusert eller utnyttet via disse leverandørene betydelig. Denne økende kompleksiteten gjør det vanskelig for virksomheter å vite hvor sikker forsyningskjeden deres er og om de har nok beskyttelse på plass.  

Til syvende og sist kan disse cyberangrepene ha en ødeleggende innvirkning på virksomheter, med dyre og langsiktige konsekvenser for berørte organisasjoner, deres kritiske leverandører og deres kunder.  

Hvorfor er forsyningskjedesikkerhet så vanskelig å håndtere for bedrifter   

Til tross for de godt dokumenterte risikoene, mister mange selskaper fortsatt forsyningskjedene sine. Faktisk, ifølge 2022-undersøkelse om sikkerhetsbrudd, "litt over én av ti virksomheter vurderer risikoen fra sine umiddelbare leverandører (13%), og andelen for den bredere forsyningskjeden er halvparten av tallet (7%)." 

Cyberrisikoen forbundet med et forsyningskjedeangrep har aldri vært høyere; angripere utvikler angrepsmetoder og verktøy i et stadig mer alarmerende tempo. Likevel, til tross for økende offentlig bevissthet om truslene og økt regulatorisk tilsyn, holder ikke bedrifter tritt.  

I følge National Cyber ​​Security Center (NCSC), mens mange organisasjoner forstår at forsyningskjeden deres bør være av bekymring, gjenstår det en:  

• mangel på investeringer for å beskytte mot denne cyberrisikoen 
• begrenset synlighet i forsyningskjeder 

• utilstrekkelig verktøy og ekspertise for å evaluere leverandørenes cybersikkerhet 
• mangel på klarhet rundt hva du bør be leverandørene om å gjøre

Disse problemene etterlater forsyningskjeder utsatt og risikerer å bli utnyttet av nettkriminelle.   

Praktiske trinn for organisasjoner for å sikre forsyningskjeden 

Veiledningen utgitt av cybermyndighetsorganene deler ned den beste tilnærmingen i fem nøkkeltrinn: 

1. Forstå hvorfor organisasjonen din bør bry seg om forsyningskjedesikkerhet 

 Organisasjoner må forstå hva som trenger beskyttelse innenfor deres økosystem og hvorfor det må sikres for å etablere meningsfull kontroll over forsyningskjeden.  

Til syvende og sist må effektiv cybersikkerhet passe til dine systemer, dine prosesser, dine ansatte, din kultur og risikonivået du er villig til å ta.   

2. Utvikle en tilnærming for å vurdere forsyningskjedesikkerhet 

 Bestem de kritiske aspektene i organisasjonen din som du trenger å beskytte mest (dine "kronjuveler"), ta i betraktning potensielle trusler, sårbarheter, påvirkning og organisasjonens risikovilje.  

Bruk organisasjonens identifiserte nøkkelaspekter, lag en rekke lagdelte leverandørsikkerhetsprofiler. Hver profil bør representere en økende effektskala, og tilordne disse til hver av leverandørene dine.  

3. Bruk tilnærmingen på nye leverandørsamtaler 

Bygg inn ny sikkerhetspraksis gjennom hele kontraktens livssyklus til nye leverandører, fra innkjøp og leverandørvalg til kontraktslukking.   

Denne prosessen bør også begynne å drive bedre sikkerhetsbevissthet blant ansatte og skape en kultur med pågående overvåking av sikkerhet og informasjonsadministrasjon.  

4. Integrer tilnærmingen i eksisterende leverandøravtaler

Med en ny tilnærming avtalt, gjennomgå dine eksisterende kontrakter enten ved fornyelse eller tidligere når det gjelder kritiske leverandører. 

5. Forbedre kontinuerlig

Regelmessig avgrensning av tilnærmingen din etter hvert som nye problemer dukker opp, vil redusere sannsynligheten for at risikoen påvirker organisasjonen din via forsyningskjeden.  

Hvordan ISO 27001 kan muliggjøre bærekraftig forsyningskjedesikkerhet  

ISO 27001 er en internasjonalt anerkjent standard for informasjonshåndtering, men det handler egentlig om risikostyring. Og dette er hva veiledningen utgitt av NCSC, CISA, FBI, ACSC, CCCS og NZ NCSC stadig kommer tilbake til, og det er grunnen til at arbeid innenfor ISO 27001-rammeverket vil føre til atferd og sikkerhetsfordeler for enhver bedrift som ønsker å forbedre sin cyberresiliens og skiller seg fra sine konkurrenter.  

ISO 27001 råder bedrifter til å ha en enkel prosess på plass for onboarding og administrasjon av leverandører. Fokuser spesielt på følgende:  

• keeping infosec retningslinjer, prosedyrer og kontroller oppdatert 
• Opprettholde berørte kritiske forretningsinformasjon, systemer og prosesser 
• Sørge for å revurdere eventuelle identifiserte risikoer og kontrollere at leverandørene oppfyller løpende sikkerhetskrav  

Det kan virke som viktige råd med sunn fornuft, men det kan spare organisasjoner for tid, penger, skade på omdømmet og frustrasjon hvis de implementeres riktig. I tillegg kan det å oppnå samsvar med ISO 27001-rammeverket tilby en betydelig forretningsfordel ved å demonstrere din sertifiserte sikkerhetslegitimasjon til nåværende og fremtidige kunder. 

Styrk sikkerheten i forsyningskjeden din i dag  

Hvis du ønsker å starte reisen mot bedre forsyningskjedesikkerhet, kan vi hjelpe.   

Vår ISMS-løsning muliggjør en enkel, sikker og bærekraftig tilnærming til informasjonshåndtering med ISO 27001, NIST og andre rammeverk. Den tilbyr forsyningskjedesikkerhetsmoduler som raskt kan tas i bruk, tilpasses og legges til over tid for å oppnå vellykket cybersikkerhet og bedre adopsjon av sikker atferd i organisasjonen din. Lås opp konkurransefortrinnet ditt i dag.  

Book A Demo