הנחיית שרשרת אספקה מגופי אבטחת סייבר גלובליים

supply chain guidance from global cyber security bodies

סוכנויות סייבר בינלאומיות מנפיקות הנחיות לשרשרת אספקה בעקבות עלייה לאחרונה בהתקפות סייבר

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

11 נובמבר 2022

תוכן עניינים:

1) מדוע סוכנויות סייבר מתמקדות באבטחת שרשרת אספקה
2) מדוע כל כך קשה להתמודד עם אבטחת שרשרת האספקה לעסקים
3) שלבים מעשיים לארגונים לאבטחת שרשרת האספקה שלהם
4) כיצד ISO 27001 יכול לאפשר אבטחת שרשרת אספקה בר קיימא
5) חזקו את אבטחת שרשרת האספקה שלכם עוד היום

בחודש שעבר, כחלק מייעוץ משותף, פרסמו גופי ניהול אבטחת סייבר מארה"ב, בריטניה, אוסטרליה, קנדה וניו זילנד הנחיות רשמיות לאבטחת סייבר של שרשרת האספקה כדי לעזור לארגונים לשמור על אבטחת המידע והנתונים שלהם.

ההנחיות הטריות, המתמקדות בתמיכה בארגונים בינוניים עד גדולים ובארגונים האחראים לניהול סיכונים, מידע ואבטחת סייבר, תסייע בביסוס או שיפור של גישות ארגוניות להערכת סיכוני אבטחת סייבר בשרשרת האספקה.

מדוע סוכנויות סייבר מתמקדות באבטחת שרשרת אספקה

פשרה בשרשרת האספקה הגיעה לכותרות בהיקפים חסרי תקדים. מתקפת SolarWinds בשנת 2020 לכאורה פתחה את שערי ההצפה, והפרצות לא יפסיקו להגיע.

בחודש האחרון בלבד, MediBank באוסטרליה ראתה למעלה מ-4 מיליון רישומי חולים שנפגעו ודלפו באינטרנט. Supeo, ספקית ל-DSB, רשת הרכבות הגדולה ביותר בדנמרק, סבלה מפרצה שמנעה פיזית תנועת רכבות במשך יותר משעתיים. וצ'ייס בריטניה ספג מתקפה שמנעה מלקוחותיהם לגשת לאפליקציית הבנקאות שלהם במשך כמעט יומיים.

ככל שארגונים מסתמכים על מספר גדל והולך של ספקים כדי לספק מוצרים, מערכות ושירותים, הסיכון להחדרה או ניצול של פרצות דרך ספקים אלה עולה באופן משמעותי. המורכבות הגוברת הזו מקשה על עסקים לדעת עד כמה מאובטחת שרשרת האספקה שלהם ואם יש להם מספיק הגנות במקום.

בסופו של דבר, למתקפות סייבר אלו יכולות להיות השפעה הרסנית על עסקים, עם השלכות יקרות וארוכות טווח עבור ארגונים מושפעים, הספקים הקריטיים שלהם והלקוחות שלהם.

מדוע כל כך קשה להתמודד עם אבטחת שרשרת האספקה לעסקים

למרות הסיכונים המתועדים היטב, חברות רבות עדיין מאבדות את שרשרות האספקה שלהן. למעשה, על פי ה סקר פריצות אבטחה לשנת 2022, "מעט יותר מאחד מכל עשרה עסקים בוחנים את הסיכונים הנשקפים מהספקים המיידיים שלהם (13%), והשיעור עבור שרשרת האספקה הרחבה יותר הוא חצי מהנתון הזה (7%)."

סיכוני הסייבר הקשורים להתקפת שרשרת אספקה מעולם לא היו גבוהים יותר; התוקפים מפתחים שיטות וכלים תקיפה בקצב מדאיג יותר ויותר. עם זאת, למרות המודעות הציבורית הגוברת לאיומים והגברת הפיקוח הרגולטורי, עסקים לא עומדים בקצב.

לפי המרכז הלאומי לאבטחת סייבר (NCSC), בעוד שארגונים רבים מבינים ששרשרת האספקה שלהם צריכה לעורר דאגה, נותרה:

חוסר השקעה כדי להגן מפני סיכון סייבר זה
נראות מוגבלת לשרשרות האספקה

אין מספיק כלים ומומחיות כדי להעריך את אבטחת הסייבר של ספקים
חוסר בהירות לגבי מה שאתה צריך לבקש מהספקים שלך לעשות

בעיות אלו משאירות את שרשראות האספקה חשופות ובסיכון לניצול על ידי פושעי סייבר.

שלבים מעשיים לארגונים לאבטחת שרשרת האספקה שלהם

ההנחיות שפורסמו על ידי גופי ממשלת הסייבר מפרקים את הגישה הטובה ביותר לחמישה שלבים מרכזיים:

הבן מדוע לארגון שלך צריך להיות אכפת מאבטחת שרשרת האספקה

ארגונים חייבים להבין מה צריך הגנה בתוך המערכת האקולוגית שלהם ומדוע צריך לאבטח אותה כדי לבסס שליטה משמעותית על שרשרת האספקה.

בסופו של דבר, אבטחת סייבר יעילה צריכה להתאים למערכות שלך, לתהליכים שלך, לצוות שלך, לתרבות שלך ולרמת הסיכון שאתה מוכן לקחת.

לפתח גישה להערכת אבטחת שרשרת האספקה

קבע את ההיבטים הקריטיים בארגון שלך שעליהם אתה צריך להגן הכי הרבה ('תכשיטי הכתר' שלך), תוך התחשבות באיומים פוטנציאליים, נקודות תורפה, השפעה ותיאבון הסיכון של הארגון שלך.

באמצעות היבטי המפתח המזוהים של הארגון שלך, צור מספר פרופילי אבטחת ספקים מדורגים. כל פרופיל צריך לייצג קנה מידה הולך וגדל של השפעה, ולאחר מכן הקצה אותם לכל אחד מהספקים שלך.

יישם את הגישה לשיחות עם ספקים חדשים

הטמע שיטות אבטחה חדשות לאורך מחזור חיי החוזה של ספקים חדשים, מרכש ובחירת ספקים ועד סגירת חוזה.

תהליך זה אמור להתחיל גם להניע מודעות אבטחה טובה יותר בקרב הצוות שלך וליצור תרבות של ניטור מתמשך של אבטחה וניהול מידע.

שלב את הגישה בהסכמי ספקים קיימים

עם גישה חדשה שהוסכם עליה, בדוק את החוזים הקיימים שלך עם חידושם או מוקדם יותר כאשר מדובר בספקים קריטיים.

שיפור מתמיד

חידוד קבוע של הגישה שלך כאשר בעיות חדשות צצות יקטין את הסבירות לסיכונים שישפיעו על הארגון שלך דרך שרשרת האספקה.

כיצד ISO 27001 יכול לאפשר אבטחת שרשרת אספקה בר קיימא

ISO 27001 הוא תקן מוכר בינלאומי לניהול מידע, אבל זה באמת על ניהול סיכונים. וזה מה שההנחיות שפורסמו על ידי NCSC, CISA, FBI, ACSC, CCCS ו-NZ NCSC חוזרים אליו כל הזמן, וזו הסיבה שעבודה במסגרת ISO 27001 תניע התנהגויות ויתרונות אבטחה עבור כל עסק המחפש לשפר את חוסן הסייבר שלו ומבדל את עצמו ממתחריו.

ISO 27001 מייעץ לעסקים להחזיק א תהליך פשוט לכניסה וניהול ספקים. בפרט, התמקד בדברים הבאים:

שְׁמִירָה מדיניות infosec, נהלים ובקרות עדכניות
שמירה על קריטי מושפע מידע עסקי, מערכות ותהליכים
הקפדה על הערכה מחדש של כל סיכונים שזוהו ולבדוק שהספקים עומדים בדרישות האבטחה השוטפות

זה אולי נראה כמו עצה חיונית והגיונית, אבל זה יכול לחסוך לארגונים זמן, כסף, נזק למוניטין ותסכול אם מיישמים אותו נכון. בנוסף, השגת תאימות למסגרת ISO 27001 יכולה להציע יתרון עסקי משמעותי על ידי הדגמת אישורי האבטחה המוסמכים שלך ללקוחות קיימים ועתידיים.

חזקו את אבטחת שרשרת האספקה שלכם עוד היום

אם אתה מחפש להתחיל את המסע שלך לאבטחת שרשרת אספקה טובה יותר, אנחנו יכולים לעזור.

פתרון ה-ISMS שלנו מאפשר גישה פשוטה, מאובטחת ובת קיימא לניהול מידע עם ISO 27001, NIST ומסגרות אחרות. הוא מציע מודולי אבטחה של שרשרת אספקה שניתן לאמץ, להתאים ולהוסיף להם במהירות לאורך זמן כדי להשיג אבטחת סייבר מוצלחת ואימוץ טוב יותר של התנהגויות מאובטחות בתוך הארגון שלך. פתח את היתרון התחרותי שלך, עוד היום.

ספר הדגמה

מְחַבֵּר

רבקה הרפר

רבקה היא ראש תחום שיווק תוכן ב-ISMS.online. עם למעלה מ-12 שנים בתעשיית המידע והסייבר, רבקה מחויבת לחינוך, בניית מודעות והעצמת עסקים להשגת יעדי ציות, מידע ואבטחת סייבר.

צפה בכל הפוסטים של רבקה הארפר