Forbrukere ser ofte på de fleste cyberangrep som noe som skjer med andre mennesker, helt til det rammer dem direkte. Tyveri av e-postadresser og annen personlig informasjon har blitt en vanlig og hverdagslig hendelse, men når en kriminell trykker på en knapp halvveis rundt jorden og mat forsvinner fra hyllene, blir ting plutselig virkelige.
Det var det som skjedde i juni, da et angrep på grossistdistributøren av dagligvarer, United Natural Foods (UNFI), stanset nettdriften deres. Angrepet hindret selskapets evne til å betjene sine 30,000 XNUMX lokasjoner, og etterlot dagligvarebutikker advare kunder om matmangel og forårsaket betydelige forstyrrelser hos Amazon-eide Whole Foods, inkludert nedleggelse av sandwichstasjoner.
Angrep som disse fremhever skaden en cyberhendelse kan ha for driften utenfor et enkelt selskap. Disse forstyrrelsene kan påvirke andre som er avhengige av den som en del av sine egne forsyningskjeder, og det reiser spørsmålet: hva kan organisasjoner gjøre for å beskytte seg selv?
Cyberrisiko i forsyningskjeden når kriseproporsjoner
Dette er ikke det første angrepet vi har sett som har forstyrret forsyningskjedene. Forsikringsselskapet Cowbell publiserte en rapporterer sent i fjor, som viste en økning på 431 % i angrep i forsyningskjeden siden 2021.
Slike angrep blir vanligere ettersom forretningsdrift blir stadig mer sammenkoblet og forsyningskjeder blir mer komplekse, ifølge rapporten, fordi dette gjør dem vanskeligere å sikre.
En av de største utfordringene organisasjoner står overfor er problemet med enkeltfeil (single point of failure); et enkelt selskap som mange andre er avhengige av for produkter og tjenester er et mål med høy verdi. Å lykkes med å kompromittere det forsterker effekten av et enkelt angrep.
Forstyrrelser fra angrep i forsyningskjeden kan være utelukkende digitale. Kompromitteringen av SolarWinds-programvaren i 2020 gjorde hundrevis av systemer hos selskapets kunder sårbare for informasjonstyveri. Utnyttelsen av en sårbarhet i den lokale versjonen av fildelingssystemet MOVEit i 2023 gjorde det mulig for angripere å stjele filer fra hundrevis av kundene. Begge hadde samme underliggende egenskap: giftstoffer i et digitalt produkt (ett med vilje introdusert, et ved et uhell kodet inn) påvirket tusenvis av kunder nedstrøms.
Andre cyberangrep, som UNFI-hacket, fører til fysiske problemer. De fremhever sårbarheten i moderne just-in-time-forsyningskjeder, noe som gjør dem ikke bare til en trussel mot kundedata, men også til en samfunnsrisiko.
Blant de bemerkelsesverdige hendelsene som har påvirket fysiske forsyningskjeder tidligere, finner vi angrepet på Colonial Pipeline i 2021. Selv om angrepet var rettet mot selskapets administrative nettverk, stengte selskapet bensinleveringsoperasjonen av forsiktighetshensyn, noe som skapte mangel som rammet millioner av mennesker.
Samme år rammet et ransomware-angrep på leverandøren av fjernstyringsprogramvare, Kaseya, kunder som leverte administrerte IT-tjenester. Dette spredte seg til kunder, inkludert den svenske dagligvarekjeden Coop, som måtte stenge 800 butikker. Disse angrepene var fortsatt digitale, men sluttresultatene var kinetiske; i stedet for at dataene deres ble eksponert, kunne ikke folk kjøre bil eller spise.
Dette krever en respons på styrenivå
Risikoer i forsyningskjeden introduserer nye krav til styring og styring for styrer, spesielt ettersom regulatorer begynner å presse på med problemet. For eksempel EUs Digital Operational Resilience Act (DORA) stiller flere krav til finansielle tjenesteselskaper. Den tvinger frem strenge krav til aktsomhet når man jobber med teknologi- og tjenesteleverandører, i tillegg til minimumskrav til sikkerhet i kontrakter. Avtaler med leverandører må også inneholde forpliktelser til kontinuerlig vurdering som tvinger frem periodiske cybersikkerhetsvurderinger av leverandører.
Direktivet om nettverks- og informasjonssikkerhet 2 (NIS2)-direktivet pålegger også strengere sikkerhetskrav for forsyningskjeder.
Ifølge Gartner vil fagfolk innen forsyningskjeden i økende grad se på cybersikkerhetsrisiko som en viktig faktor når de engasjerer tredjepartspartnere. forventer 60 % av dem skal gjøre det i år.
Disse bekymringene gjør leverandørrisikostyring til en avgjørende del av enhver strategi for robusthet i forsyningskjeden. Effektiv aktsomhet innebærer å kontrollere at leverandører har sikkerhetstiltak på plass. Selskaper som ikke har pålagt aktsomhet, bør gjennomgå alle sine leverandører, ideelt sett sjekke om de er akkreditert i henhold til relevante rammeverk eller standarder for nettsikkerhet. Disse kan være bransjespesifikke.
Selv etter alt dette kan angrep fortsatt forekomme. Å ha leverandører som består prøven på en liste over foretrukket leverandør vil bidra til å minimere risikoen for at forsyningskjeden din blir forstyrret på grunn av kompromittering; det vil imidlertid ikke eliminere denne risikoen fullstendig. Derfor er det viktig å planlegge for potensielle forstyrrelser.
Ikke bare forebygge, tilpass deg
Avhengig av typen kompromittering, kan en strategi for håndtering av angrep i forsyningskjeden fokusere utelukkende på logistikk og drift, eller den kan omfatte digital gjenoppretting. Hvis en dagligvareleverandør går ned fordi systemet deres er kompromittert, blir deres digitale problem kundenes fysiske problem. Deretter er fokuset for nedstrømsleverandører å fortsette vareflyten til hyllene sine.
Hvis nettverksleverandøren din ved et uhell laster ned skadelig programvare på en av serverne dine, blir det digitale problemet ditt digitale problem. Det krever en annen respons.
ISO-standarder dekker forberedelser for disse scenariene. For eksempel tar ISO 22301 for seg forretningskontinuitet i møte med risikoer i forsyningskjeden. ISO 27001 inneholder kontroller som hjelper med å håndtere informasjonsrisiko som kan påvirke deg via kompromisser i forsyningskjeden. ISO 28000 omhandler forbedring av sikkerheten i forsyningskjeden.
Å håndtere denne komplekse og mangesidige risikoen i forsyningskjeden betyr å sette i verk så mange forebyggende kontroller som mulig for å beskytte deg selv ved å velge nøye leverandører. Men det betyr også å tilpasse seg nye problemer i stedet for å stole på at de skal forebygges.
