ניווט במורכבות של אבטחת מידע בשרשרת האספקה: תובנות מ-ISMS. דוח מצב אבטחת המידע באינטרנט

בסוף 2022, התבקשנו לרשום את מגמות הסייבר המובילות שציפינו לראות ששולטות בכותרות ב-2023, וסימנו את שרשרת האספקה. וילד, צדקנו! שלושת החודשים האחרונים ראו את אבטחת שרשרת האספקה ​​באור הזרקורים ומכל הסיבות הלא נכונות.

במרץ, ענקית מיקור חוץ של IT Capita סבלה מפרצת תוכנת כופר, המשפיעה על לקוחות רבים מהמגזר הממשלתי והפרטי, כולל Royal Mail, Axa ו-USS, אחת מקרנות הפנסיה הגדולות בבריטניה. בעוד ה סגן ראש ממשלת בריטניה, אוליבר דאודן, הזהיר מפני הסיכון לרשתות אספקת תשתית לאומית קריטית והוציא אזהרה רשמית לעסקים על התקפות נכנסות של שחקנים בלתי צפויים

לאחרונה, מותגים בעלי שם גדול, כולל BA, Boots ו-BBC, נתפסו על ידי פרצת מידע אישי ופיננסי שהשפיעה על הצוות והלקוחות. האשם? באג בכלי העברת קבצים בשם MOVEit, שספק השכר שלהם, Zellis, השתמש בו.

האתגרים העומדים בפני אבטחת שרשרת האספקה

אז מדוע אבטחת שרשרת האספקה ​​נראית כל כך קשה לארגונים לעלות עליה? אחד האתגרים הקריטיים הוא המורכבות המוגברת והתלות ההדדית של שרשראות אספקה ​​גלובליות. לארגונים יש לעתים קרובות נראות ושליטה מוגבלת על הרשת המורחבת שלהם, מה שהופך את זה למאתגר להבטיח את אבטחת הנתונים והמערכות מעבר להישג ידם המיידית.

בנוסף, אבטחת מידע בשרשרת האספקה ​​מתמודדת עם נקודות תורפה כמו נוהלי אבטחה לא נאותים של ספקים, מנגנוני אימות חלשים, תוכנה מיושנת ואפילו שיבושים פוטנציאליים בשרשרת האספקה ​​שנגרמו על ידי אסונות טבע או אירועים גיאופוליטיים.

ההשפעה של פריצת שרשרת האספקה ​​יכולה להיות חמורה ומרחיקת לכת. זה לא רק יכול להוביל להפסדים כספיים, לפגיעה במוניטין ולהשלכות משפטיות, אלא גם לשבש את הפעילות ולפגוע באמון הלקוחות ובעלי העניין. האופי המקושר בין שרשראות אספקה ​​אומר שלפרצה בארגון אחד יכולה להיות השפעות מדורגות על מספר ישויות בשרשרת, מה שמגביר את הנזק הפוטנציאלי.

מה דו"ח מצב אבטחת המידע אומר לנו על אבטחת שרשרת אספקה

למרות הסיכונים המתועדים היטב ושורה הולכת וגדלה של כותרות, חברות רבות עדיין מאבדות את שרשרות האספקה ​​שלהן. למעשה, לפי שלנו דוח מצב אבטחת מידע 2023, רק 30% מהארגונים האמינו שהם נאבקים בניהול שרשרת האספקה ​​שלהם, ובכל זאת למעלה מ-57% הודו שחוו לפחות תקרית סייבר אחת כתוצאה מפגיעה בשרשרת האספקה ​​ב-12 החודשים האחרונים, כאשר רבים מהם הודו ביותר מתקרית אחת.

מאיפה הניתוק הזה? ה NCSC ערכו לאחרונה כמה מחקרים משלהם ומצא כי "מעט יותר מאחד מכל עשרה עסקים בוחנים את הסיכונים הנשקפים מהספקים המיידיים שלהם (13%), והשיעור עבור שרשרת האספקה ​​הרחבה יותר הוא חצי מהנתון הזה (7%).

לכן, בעוד שארגונים רבים מבינים ששרשרת האספקה ​​שלהם צריכה לעורר דאגה, נותרה:

• חוסר השקעה כדי להגן מפני סיכון סייבר זה
• נראות מוגבלת לשרשרות האספקה
• אין מספיק כלים ומומחיות כדי להעריך את אבטחת הסייבר של ספקים

חוסר בהירות לגבי מה שאתה צריך לבקש מהספקים שלך לעשות

בעיות אלו משאירות את שרשראות האספקה ​​חשופות ובסיכון לניצול על ידי פושעי סייבר.

אתגרים רגולטוריים ואבטחת שרשרת אספקה

ב-12 החודשים האחרונים, כמעט שני שלישים (60%) מהעסקים בבריטניה קיבלו קנס עקב הפרות נתונים או הפרות רגולטוריות. הסכום הממוצע ששולמו בקנסות היה כמעט 250,000 פאונד.

הקנסות הנפוצים ביותר על הפרות נתונים נעו בין 50,000 ל-100,000 ליש"ט (21%), ואחריהם 100,000 ליש"ט עד 250,000 ליש"ט (17.5%). כמעט 21% מהמשיבים קיבלו קנסות מעל 250,000 ליש"ט, כשקצת פחות ממחציתם הודו בקבלת קנס שנע בין 500,000 ליש"ט ל-1,000,000 ליש"ט מדהים.

מתוך הקנסות הללו, 42% מדאיגים נבעו במישרין או בעקיפין מפרצת נתונים או תקרית שכללה היבט של שרשרת אספקה ​​או פשרה של ספקים של צד שלישי. הדגש עד כמה ניהול ספקים אינטגרלי באבטחת המידע ובעמידה ברגולציה של הארגון.

מגמות עיקריות המשפיעות על אבטחת שרשרת האספקה

אחת הנקודות העיקריות מדוח מצב אבטחת המידע היא התחכום ההולך וגדל של התקפות סייבר המכוונות לשרשראות אספקה. פושעי סייבר משתמשים באיומים מתמשכים מתקדמים (APTs), שהם התקפות חמקניות וממוקדות ביותר שמטרתן לפגוע בשלמות שרשרת האספקה. התקפות אלו יכולות להישאר ללא זיהוי לתקופות ממושכות, מה שמאפשר לשחקני איומים לקבל גישה לא מורשית לנתונים רגישים או אפילו לתמרן או להשתלט על מערכות קריטיות.

ברגע שהם נכנסים למערכת, לעתים קרובות תוקפים ידרשו כופר עבור גישה חזרה למערכות קריטיות אלו או מאיימים לשחרר נתונים רגישים אלא אם ישולם. כמעט 25% מהארגונים בסקר שלנו הוחזקו כופר ב-12 החודשים האחרונים, כאשר 25% נוספים נרשמו גם הם שחוו חדירה לרשת באותה תקופה.

יתרה מכך, הדו"ח שופך אור על השכיחות העולה של התקפות פשרה בשרשרת האספקה, כאשר 19% מהנשאלים ציינו כי הושפעו בצורה זו ב-12 החודשים האחרונים. בתרחישים אלה, תוקפים מנצלים נקודות תורפה ברכיב אחד או יותר של שרשרת האספקה ​​כדי לחדור למערכת האקולוגית כולה.

לדוגמה, על ידי פגיעה ברשת או במערכות של ספק, תוקפים יכולים לקבל גישה לא מורשית לשותפים במורד הזרם, מה שמוביל לאפקט גל של פרצות אבטחה. זה מדגיש את הקישוריות והתלות ההדדית של אבטחת שרשרת האספקה, מה שהופך את זה חיוני לארגונים להעריך ולהפחית סיכונים לא רק בתוך המערכות שלהם אלא גם בכל רשת שרשרת האספקה ​​שלהם.

מגמה מדאיגה נוספת שזוהתה בדוח היא העלייה במתקפות פישינג בשרשרת האספקה. פושעי סייבר משתמשים בטכניקות של הנדסה חברתית כדי להונות אנשים בתוך שרשרת האספקה, לרמות אותם לחשוף מידע רגיש או להוריד תוכנות זדוניות בשוגג.

התקפות דיוג אלו יכולות להיות משכנעות, ולעתים קרובות להתחזות לספקים מהימנים, ספקים או בעלי עניין פנימיים. לכן, זה אולי לא מפתיע ש-28% מהמשיבים בסקר ציינו שהם הופרו כתוצאה ממתקפת דיוג שמטרתה את עובדיהם ב-12 החודשים האחרונים. ארגונים חייבים לחנך את העובדים שלהם לגבי האיומים הללו וליישם אמצעי אבטחת דוא"ל חזקים כדי להילחם בניסיונות הדיוג המתוחכמים הללו.

פגיעויות נפוצות של שרשרת אספקה ​​ווקטורי תקיפה

דו"ח מצב אבטחת המידע של ISMS.online חושף גם כמה פגיעויות נפוצות ווקטורי תקיפה שגורמי איומים מנצלים כדי לסכן את אבטחת הספקים.

פגיעות רווחת אחת היא בקרת ספקים חלשה. ייתכן שלספקים רבים אין אמצעי אבטחה חזקים, מה שהופך אותם למטרה קלה להתקפות סייבר. נקודות תורפה אלו עשויות לכלול תוכנה מיושנת, ניהול תיקון לקוי או בקרות גישה רופפות. התוקפים מנצלים את החולשות הללו כדי לקבל גישה לא מורשית למידע רגיש או להחדיר קוד זדוני למערכת האקולוגית של שרשרת האספקה.

פגיעות נוספת נובעת מהיעדר בדיקת נאותות במהלך כניסת הספקים. ארגונים מתעלמים לעתים קרובות מהחשיבות של בדיקה יסודית של נוהלי האבטחה של הספקים שלהם לפני שהם מקיימים קשרים עסקיים. פיקוח זה יוצר פער פוטנציאלי בהגנות של שרשרת האספקה, ומאפשר לתוקפים לנצל את החוליה החלשה ביותר. למשל, ספק עם אמצעי אבטחה לא מספיקים עלול לחשוף בשוגג את כל שרשרת האספקה ​​לסיכונים משמעותיים.

מודעות והכשרה לא מספקת לאבטחה לאורך שרשרת האספקה ​​היא פגיעות נוספת שתוקפים מנצלים. ייתכן שלעובדים ברמות שונות בשרשרת האספקה ​​אין ידע הולם על שיטות עבודה מומלצות לאבטחת סייבר או על האיומים הפוטנציאליים העומדים בפניהם. פער הידע הזה משאיר אותם רגישים להתקפות הנדסה חברתית, ניסיונות דיוג או הכנסת תוכנות זדוניות למערכת בשוגג.

ואכן, פחות ממחצית מהארגונים שנסקרו העבירו הכשרה קבועה לאבטחת מידע או מודעות לנתונים במהלך 12 החודשים האחרונים (47%), מה שמצביע על כך ש-53% מהארגונים עדיין לא העבירו הדרכות רגילות למודעות צוות כלל. ארגונים חייבים לתעדף הדרכות למודעות אבטחה ולבסס תרבות של ערנות בכל שרשרת האספקה.

הדוח מדגיש גם את הסיכונים הקשורים לרכיבי תוכנה וחומרה של צד שלישי. שילוב רכיבים אלה בשרשרת האספקה ​​מציג רמה של תלות בגופים חיצוניים, מגדיל את פני התקפות ופגיעויות פוטנציאליות. גורמים זדוניים עלולים לסכן את הרכיבים הללו, ולהוביל לשיבושים בשרשרת האספקה, לפרצות מידע או להכנסת תוכנה או חומרה שנפגעו.

יתר על כן, איומים פנימיים בתוך שרשרת האספקה ​​מהווים סיכון משמעותי. איומים פנימיים יכולים להתרחש כאשר אנשים בעלי גישה מורשית למערכת האקולוגית של שרשרת האספקה ​​מנצלים לרעה את ההרשאות שלהם או עוסקים ביודעין בפעילויות זדוניות. זה יכול להיות עובד ממורמר, קבלן עם גישה לא מורשית או איש פנים שנפגע. למעלה מ-20% מהמשתתפים בסקר שלנו חוו תקרית כתוצאה מפשרה של איום פנימי ב-12 החודשים האחרונים. לאיומים כאלה עלולות להיות השלכות חמורות, כולל הפרות מידע, גניבת קניין רוחני או חבלה.

הבנת הפגיעויות הללו חיונית לארגונים לפתח אסטרטגיות ממוקדות להפחתת סיכונים. ארגונים יכולים לשפר משמעותית את אבטחת המידע בשרשרת האספקה ​​שלהם על ידי זיהוי וטיפול בבקרות ספקים חלשות, הטמעת תהליכי בדיקת נאותות מחמירים, טיפוח מודעות אבטחה ותוכניות הדרכה וניהול צמוד של רכיבי תוכנה וחומרה של צד שלישי.

ניווט במורכבות של אבטחת מידע בשרשרת האספקה

ההסתמכות הגוברת על קשרי צד שלישי ונוף האיומים המתפתח מחייבים גישה מקיפה להפחתת סיכונים והגנה על נתונים רגישים. הבה נחקור כמה תחומים מרכזיים שיש לקחת בחשבון בעת ​​ניווט בין המורכבויות של אבטחת מידע בשרשרת האספקה.

אסטרטגיות הערכת סיכונים והפחתה:

הערכת סיכונים יסודית היא הבסיס לאבטחת מידע אפקטיבית בשרשרת האספקה. זה כולל זיהוי והערכה של פגיעויות ואיומים פוטנציאליים בתוך מערכת האקולוגית של שרשרת האספקה. ארגונים יכולים לתעדף סיכונים, להקצות משאבים ביעילות וליישם אסטרטגיות הפחתה ממוקדות על ידי ביצוע הערכות קבועות. אסטרטגיות אלו עשויות לכלול הצפנת נתונים, בקרות גישה, ביקורת אבטחה רגילה וניטור רציף כדי לזהות ולטפל בפרצות באופן מיידי.

הקמת מסגרת אבטחה איתנה לשרשרת אספקה:

ארגונים חייבים להקים מסגרת אבטחה חזקה לניהול אבטחת מידע בשרשרת האספקה ​​ביעילות. מסגרת זו צריכה לשרטט מדיניות ברורה, נהלים והנחיות כדי להבטיח נוהלי אבטחה עקביים לאורך שרשרת האספקה. זה צריך לכלול דרישות אבטחה לספקים, קבלנים ושותפים אחרים של צד שלישי ומדיניות לשיתוף ושידור נתונים מאובטחים. הערכות וביקורות סדירות יכולות לאמת את יעילות המסגרת ולהניע שיפור מתמיד.

מאמצים ושותפויות משותפים:

ארגונים צריכים לטפח תקשורת פתוחה ושיתוף פעולה עם ספקים, ספקים ובעלי עניין אחרים כדי ליישר שיטות אבטחה, לשתף מודיעין איומים ולחזק את עמדת האבטחה. יוזמות שיתופיות יכולות לכלול פלטפורמות לשיתוף מידע, ביקורת אבטחה משותפת ותוכניות הכשרה ומודעות אבטחה קבועות.

ניהול סיכונים של צד שלישי:

חיוני להקים תהליכי ניהול סיכונים חזקים של צד שלישי. זה כרוך בביצוע בדיקת נאותות בעת בחירת שותפים, הערכת נוהלי האבטחה שלהם וקביעת הסכמים חוזיים המתארים ציפיות ואחריות אבטחה. יש לבצע ניטור וביקורות שוטפות של בקרות אבטחה של צד שלישי כדי להבטיח ציות מתמשך.

תוכניות תגובה והתאוששות לאירועים:

למרות אמצעי אבטחה יזומים, עדיין עלולים להתרחש תקריות. יש חשיבות מכרעת להגדיר היטב תוכניות תגובה והתאוששות לאירועים. תוכניות אלה צריכות לפרט את הצעדים שיש לנקוט במקרה של פרצת אבטחה, לרבות זיהוי תקריות, בלימה, חקירה והחלמה. ארגונים צריכים לערוך תרגילים וסימולציות קבועות לתגובה לאירועים כדי לבדוק את יעילות התוכניות שלהם ולזהות אזורי שיפור.

גישת אבטחת מידע יזומה ומקיפה בשרשרת האספקה ​​היא חיונית להצלחה ארוכת טווח ולהמשכיות עסקית בנוף איומים המתפתח ללא הרף.

כיצד ISO 27001 יכול לעזור להשיג ניהול אפקטיבי של שרשרת אספקה

ISO 27001 הוא תקן מוכר בינלאומי לניהול מידע, אבל זה באמת על ניהול סיכונים. עבודה במסגרת ISO 27001 תניע התנהגויות ויתרונות אבטחה עבור כל עסק המבקש לשפר את חוסן הסייבר שלו ולנהל ביעילות את אבטחת שרשרת האספקה ​​שלו.

תקן ISO 27001 מייעץ לעסקים להיות כמותהליך פשוט לכניסה וניהול ספקים. בפרט, התמקד בדברים הבאים:

1. קביעת מדיניות רשמית לספקים, המתארת ​​את הדרישות שלך להפחתת סיכונים הקשורים לצדדים שלישיים
2. הסכמה ותיעוד דרישות אלו עם כל ספק
3. לבדיקת ספקים יש תהליכים כדי לעמוד ברמות מתאימות של אבטחה בסיסית (כולל שרשרת האספקה ​​שלהם). זה יכול להיעשות באמצעות ביקורות ממוקדות, שאלונים או בדיקות להסמכה עם ISO 27001
4. שמירה על רשימה מתעדכנת באופן שוטף של ספקים מאושרים
5. הערכה קבועה אם הספקים עומדים בדרישות האבטחה שלך.
6. הבטחת כל שינוי טכנולוגי או תהליך מסומן מיידית ושאתה מבין את השפעתם על סיכוני הספקים.

זה אולי נראה כמו עצה חיונית והגיונית, אבל זה יכול לחסוך לארגונים זמן, כסף, נזק למוניטין ותסכול אם מיישמים אותו נכון. בנוסף, השגת תאימות למסגרת ISO 27001 יכולה להציע יתרון עסקי משמעותי על ידי הדגמת אישורי האבטחה המוסמכים שלך ללקוחות קיימים ועתידיים.

ככל שרשתות האספקה ​​מתרחבות בגודלן ובמורכבותן, גם סיכוני הסייבר הנלווים גדלים. ארגונים חייבים לנקוט בפעולה נחרצת כדי להגן על המידע והנכסים שלהם. על ידי מינוף משאבים כגון הנחיות למיפוי שרשרת האספקה ​​המוצעת על ידי ה-NCSC ויישום ISMS המבוסס על ISO 27001, ארגונים יכולים לחזק את שיטות ניהול הסיכונים בשרשרת האספקה ​​שלהם ולהגן על פעילותם מאיומי סייבר מתפתחים. עכשיו זה הזמן לתעדף צעדים יזומים כדי להתמודד עם האתגרים הללו חזיתית.

אתה יכול לקרוא את דוח מצב אבטחת המידע המלא כאן: https://iw.isms.online/state-of-infosec-23/

קרא את הדוח