Da IT-outsourcing-giganten Capita ble utsatt for et løsepengevarebrudd i mars, prøvde den sitt beste for å kontrollere medienarrativet. Men forsyningskjedehendelser som dette har en vane å løpe vekk fra selv de best drillede PR-teamene. Etter noen uker med drypp-drypp nyheter fra Capita, kom firmaets verste mareritt: en flom av rapporter om brudd fra bedriftskunder. På tvers av denne og en annen hendelse som involverer feilkonfigurering av skyen, har antallet ofre nå steget til minst 90.
Det er nok av takeaways for sikkerhets- og overholdelsesteam. Men de kan kokes ned til én idé. Du kan ha det beste cyberrisikoreduksjonsprogrammet i verden på plass, men organisasjonen din kan fortsatt bli kritisk utsatt for hendelser hvis den ikke dekker forsyningskjeden.
Ifølge ett estimat i fjor led 98 % av globale organisasjoner et brudd i forsyningskjeden i 2021. Det er på tide å utvide synlighet og kontroll fra innsiden til utsiden av bedriften.
Hva skjedde med Capita?
Capita har vært ordknapp om "hendelsen" den sier fant sted 22. mars, og avslører bare til dags dato at "noen data ble eksfiltrert fra mindre enn 0.1 % av serverområdet". Faktisk, rapporter foreslår at løsepengegruppen BlackBasta sto bak bruddet, med ofrenes personlige og bankkontodetaljer som allerede er solgt på det mørke nettet. Dette har sterke implikasjoner for firmaets mange bedriftskunder og, til syvende og sist, deres kunder.
Capita har kontrakter verdt milliarder av pund med offentlige og private kunder, inkludert Royal Mail, Axa og USS, et av Storbritannias største pensjonsfond. Regulator The Information Commissioner's Office (ICO) har blitt oversvømmet med bruddvarsler fra disse kundene. Samtidig har pensjonsregulatoren (TPR) har angivelig skrevet til over 300 fond for å be dem sjekke om de også har blitt påvirket.
Capita er ikke den første og vil ikke være den siste kilden til cyber i forsyningskjeden Fare. Mer nylig ble store merkevarer, inkludert BA, Boots og BBC, fanget av et brudd på personlige og økonomiske data som påvirker ansatte og potensielle kunder. Den skyldige? En feil i et filoverføringsverktøy kalt MOVEit, som deres lønnsleverandør, Zellis, brukte. Det antas at tusenvis av firmaer, direkte og indirekte programvarebrukere, kan ha blitt påvirket.
Hvorfor forsyningskjederisiko er vanskelig å håndtere
Ettersom virkningen av begge bruddene fortsetter å skape overskrifter over hele verden, er det nå på tide å forstå risikoen i forsyningskjeden bedre. Jamie Akhtar, administrerende direktør i CyberSmart, hevder at Capita-hendelsen er et av de beste eksemplene på sikkerhetsrisikoen forsyningskjeder utgjør.
"Det fungerer som en advarsel til det britiske næringslivet. Hvis du er en del av en forsyningskjede, vil cyberkriminelle forsøke å målrette deg før eller siden – muligheten til å forårsake forstyrrelser eller stjele viktige data er for god til å gå glipp av, sier han. "Så vi oppfordrer bedrifter av alle størrelser til å tenke på forsyningskjeden deres og risikoene i den."
Simon Newman, administrerende direktør i The Cyber-resiliens Center for London, legger til at angripere i økende grad retter seg mot store og komplekse forsyningskjeder fordi intern sikkerhetsarbeid har blitt bedre.
"Evnen til å kompromittere sikkerheten til en leverandør gir ikke bare en potensiell bakdør inn til større organisasjoner, men ettersom tredjeparten sannsynligvis vil levere produkter eller tjenester til andre selskaper også, betyr det at omfanget og omfanget av angrepet er langt større,» advarer han.
Så hvorfor er forsyningskjederisiko så vanskelig å håndtere?
Et forsyningskjedeangrep kan ha mange former. Det kan være at bedriftsdata administreres av en leverandør som senere blir brutt (som Capita eller Blackbaud). Det kan være at en leverandør eller partner med innlogging til nettverket ditt blir kompromittert, noe som gir hackere tilgang til organisasjonens IT-ressurser og data. Dette skjedde i massivet 2013 Målbrudd. Eller det kan til og med være at flere nedstrømsbrukere av kompromittert programvare blir infisert etter at hackere implanterer skadelig programvare eller utnytter feil i den, som skjedde med MOVEit og Accellion.
Ettersom den digitale transformasjonen fortsetter i rask takt, fortsetter leverandørenes cyberangrepsoverflate å vokse. IT-miljøene deres endrer seg konstant, og krever tett og, ideelt sett, kontinuerlig gransking. Men dette skjer ikke. Ifølge National Cyber Security Center (NCSC), noen av hovedutfordringene med risikostyring i forsyningskjeden ligger i å få det grunnleggende riktig, for eksempel:
- Forstå risikoen forbundet med dårlig forsyningskjedens sikkerhet
- Investere mer i risikoreduksjon
- Forbedre synlighet i forsyningskjeder
- Få de riktige verktøyene og kompetansen for å evaluere leverandørenes cybersikkerhet
- Forstå hvilke spørsmål du skal stille til leverandører
Dessverre er dagens innsats ikke tilstrekkelig. I følge en regjeringsrapport, bare rundt én av 10 (13 %) bedrifter vurderer risikoene fra leverandørene. Som nevnt ovenfor inkluderer barrierer som refereres til i rapporten penger, kompetanse, prioritering og å få riktig informasjon fra leverandører. Men også viktig er å vite hvilke leverandører som skal kontrolleres og hvilke kontroller som skal utføres. Det er her internasjonalt standarder som ISO 27001 kan hjelpe.
Hvordan ISO 27001 kan hjelpe
Ifølge IBM20 % av datainnbruddshendelsene stammer fra leverandører, til en gjennomsnittlig kostnad på $4.46 millioner per brudd, mer enn gjennomsnittet for alle typer brudd ($4.35 millioner). Dette alene burde være nok til å fokusere sinnene på oppgaven administrere forsyningskjeden risikere mer effektivt. Men hvordan? Først bør du vurdere NCSCs forsyningskjedekartlegging (SCM) veiledning, som vil hjelpe deg å forstå hvem leverandørene dine er, hva de tilbyr og hvordan de leverer det. Det bør muliggjøre mer effektiv risikobasert beslutningstaking.
Evaluering og administrasjon av leverandørsikkerhet er også en kritisk komponent i et Information Security Management System (ISMS). ISO 27001 kan fortelle deg hvordan du kommer dit gjennom trinn som:
- Etablere en formell policy for leverandører, som skisserer dine krav for å redusere risiko knyttet til tredjeparter
- Avtale og dokumentere disse kravene med hver leverandør
- Sjekke leverandører har prosesser på plass for å møte passende nivåer av grunnleggende sikkerhet (inkludert deres egne forsyningskjeder). Dette kan gjøres via fokuserte revisjoner, spørsmål eller kontroller for akkreditering med ISO 27001
- Opprettholde en jevnlig oppdatert liste over godkjente leverandører
- Regelmessig vurdere om leverandørene oppfyller dine sikkerhetskrav.
- Sikre at eventuelle teknologi- eller prosessendringer blir raskt flagget og at du forstår deres innvirkning på leverandørrisiko.
Ettersom forsyningskjeder fortsetter å vokse i størrelse og kompleksitet, øker også cyberrisikoen. Det er på tide å ta grep.
Forenkle forsyningskjeden din i dag
Finn ut hvordan vår ISMS-løsning muliggjør en enkel, sikker og bærekraftig tilnærming til forsyningskjedestyring og informasjonsstyring med ISO 27001 og over 50 andre rammeverk.
