כאשר ענקית מיקור החוץ של ה-IT Capita סבלה מפרצת תוכנת כופר במרץ, היא ניסתה כמיטב יכולתה לשלוט בנרטיב התקשורתי. אבל לאירועי שרשרת אספקה כמו זה יש הרגל לברוח אפילו מצוותי יחסי הציבור המיומנים ביותר. אחרי כמה שבועות של חדשות בטפטוף מקפיטה, הגיע הסיוט הגרוע ביותר של החברה: מבול של דיווחים על הפרות מלקוחות ארגוניים. על רקע תקרית זו ותקרית שנייה הכוללת תצורה שגויה של ענן, מספר הקורבנות עלה כעת ל-90 לפחות.
יש שפע של נקודות טייק עבור צוותי אבטחה ותאימות. אבל אפשר לרכז אותם לרעיון אחד. אתה יכול לקיים את תוכנית הפחתת סיכוני הסייבר הטובה ביותר בעולם, אך הארגון שלך עדיין עלול להיות חשוף קריטי לתקריות אם היא לא מכסה את שרשרת האספקה.
לפי הערכה אחת בשנה שעברה, 98% מהארגונים העולמיים סבלו מפריצה בשרשרת האספקה בשנת 2021. הגיע הזמן להרחיב את הנראות והשליטה מהארגון אל מחוץ לארגון.
מה קרה לקפיטה?
קפיטה קפדנית על "התקרית" שלדבריה התרחשה ב-22 במרץ, וחשפה רק עד היום כי "חלק מהנתונים הוצאו מפחות מ-0.1% מאחוזת השרתים שלו". למעשה, הדיווחים מציעים שקבוצת תוכנות הכופר BlackBasta עמדה מאחורי ההפרה, כאשר פרטיהם האישיים וחשבון הבנק של הקורבנות כבר נמכרו ברשת האפלה. יש לכך השלכות קשות על הלקוחות הארגוניים הרבים של החברה ובסופו של דבר, על לקוחותיהם.
לקפיטה יש חוזים בשווי מיליארדי פאונד עם לקוחות ממשלתיים ומגזר פרטי, כולל רויאל מייל, Axa ו-USS, אחת מקרנות הפנסיה הגדולות בבריטניה. רגולטור משרד נציב המידע (ICO) הוצף עם הודעות על הפרה מלקוחות אלה. במקביל, רגולטור הפנסיה (TPR) לפי הדיווחים כתב ליותר מ-300 קרנות כדי לבקש מהם לבדוק אם גם הם הושפעו.
Capita הוא לא הראשון ולא יהיה המקור האחרון של סייבר שרשרת אספקה לְהִסְתָכֵּן. לאחרונה עדיין, מותגים בעלי שם גדול, כולל BA, Boots ו-BBC, נתפסו על ידי הפרה של נתונים אישיים ופיננסיים שהשפיעו על הצוות ועל הלקוחות הפוטנציאליים. האשם? באג בכלי העברת קבצים בשם MOVEit, שספק השכר שלהם, Zellis, השתמש בו. מאמינים שאלפי חברות, משתמשי תוכנה ישירים ועקיפים, עשויות להיות מושפעות.
מדוע קשה לנהל סיכוני שרשרת אספקה
מכיוון שההשפעה של שתי ההפרות ממשיכה להגיע לכותרות ברחבי העולם, עכשיו זה הזמן להבין טוב יותר את הסיכון בשרשרת האספקה. ג'יימי אחטאר, מנכ"ל CyberSmart, טוען שתקרית Capita היא אחת הדוגמאות הטובות ביותר לסיכוני האבטחה ששרשרות האספקה מציבות.
"זה משמש אזהרה לקהילה העסקית בבריטניה. אם אתה חלק משרשרת אספקה, פושעי סייבר ינסו למקד אותך במוקדם או במאוחר - ההזדמנות לגרום להפרעה או לגנוב נתונים חשובים היא טובה מכדי לוותר עליה", הוא אומר. "לכן, אנו קוראים לעסקים בכל הגדלים לחשוב על שרשרת האספקה שלהם ועל הסיכונים שבתוכה."
סיימון ניומן, מנכ"ל The חוסן סייבר Center for London, מוסיף כי התוקפים מכוונים יותר ויותר לרשתות אספקה גדולות ומורכבות מכיוון שמאמצי האבטחה הפנימיים השתפרו.
"היכולת לסכן את האבטחה של ספק לא רק מספקת דלת אחורית פוטנציאלית לארגונים גדולים יותר, אלא מכיוון שהצד השלישי עשוי לספק מוצרים או שירותים גם לחברות אחרות, המשמעות היא שההיקף וההיקף של המתקפה הוא הרבה יותר גדול", הוא מזהיר.
אז למה כל כך קשה לנהל את הסיכון בשרשרת האספקה?
התקפת שרשרת אספקה יכולה ללבוש צורות רבות. יכול להיות שהנתונים הארגוניים מנוהלים על ידי ספק שנפרץ לאחר מכן (כמו Capita או בלקבאוד). יכול להיות שספק או שותף עם כניסות לרשת שלך ייפגע, מה שנותן להאקרים גישה לנכסי ה-IT ולנתונים של הארגון שלך. זה קרה במסיבית 2013 פריצת יעד. או שאפילו יכול להיות שמשתמשים מרובים במורד הזרם של תוכנה שנפרצה נדבקים לאחר שהאקרים משתילים בתוכו תוכנות זדוניות או מנצלים באגים, כפי שקרה עם MOVEit ו אקליציה.
ככל שהטרנספורמציה הדיגיטלית נמשכת במהירות, משטח התקפות הסייבר של הספקים ממשיך לגדול. סביבות ה-IT שלהם משתנות ללא הרף, ומחייבות בדיקה מדוקדקת, ובאופן אידיאלי, מתמשכת. אבל זה לא קורה. על פי המרכז הלאומי לביטחון הקיברנטי (NCSC), כמה מהאתגרים העיקריים בניהול סיכונים בשרשרת האספקה טמונים בקבלת היסודות הנכונים, כגון:
- הבנת הסיכונים הקשורים לעניים אבטחת שרשרת האספקה
- משקיעים יותר בהפחתת סיכונים
- שיפור הנראות לתוך שרשרות האספקה
- קבלת הכלים והמומחיות הנכונים כדי להעריך את אבטחת הסייבר של ספקים
- הבנת אילו שאלות לשאול את הספקים
למרבה הצער, המאמצים הנוכחיים אינם מספיקים. לפי דו"ח ממשלתי, רק אחד מכל 10 (13%) עסקים סוקר את הסיכונים הנשקפים מהספקים. כפי שהוזכר לעיל, החסמים שצוינו בדוח כוללים כסף, מיומנויות, תעדוף וקבלת המידע הנכון מספקים. אבל חשוב גם לדעת אילו ספקים לבדוק ואילו בדיקות לבצע. זה המקום הבינלאומי תקנים כמו ISO 27001 יכול לעזור.
כיצד ISO 27001 יכול לעזור
לפי IBM, 20% מאירועי הפרת מידע נובעים מספקים, בעלות ממוצעת של 4.46 מיליון דולר לפרצה, יותר מהממוצע בכל סוגי הפרצות (4.35 מיליון דולר). זה לבד צריך להספיק כדי למקד את המוחות במשימה של ניהול שרשרת אספקה להסתכן בצורה יעילה יותר. אבל איך? ראשית, שקול את מיפוי שרשרת האספקה של ה-NCSC (SCM) הדרכה, שיעזור לך להבין מי הספקים שלך, מה הם מספקים וכיצד הם מספקים זאת. זה אמור לאפשר קבלת החלטות יעילה יותר מבוססת סיכונים.
הערכה וניהול של אבטחת ספקים הם גם מרכיב קריטי במערכת ניהול אבטחת מידע (ISMS). ISO 27001 יכול לומר לך כיצד להגיע לשם באמצעות שלבים כגון:
- קביעת מדיניות רשמית לספקים, המתארת את הדרישות שלך להפחתת סיכונים הקשורים לצדדים שלישיים
- הסכמה ותיעוד דרישות אלו עם כל ספק
- לבדיקת ספקים יש תהליכים כדי לעמוד ברמות מתאימות של אבטחה בסיסית (כולל שרשרת האספקה שלהם). זה יכול להיעשות באמצעות ביקורות ממוקדות, שאלונים או בדיקות להסמכה עם ISO 27001
- שמירה על רשימה מתעדכנת באופן שוטף של ספקים מאושרים
- הערכה קבועה אם הספקים עומדים בדרישות האבטחה שלך.
- הבטחת כל שינוי טכנולוגי או תהליך מסומן מיידית ושאתה מבין את השפעתם על סיכוני הספקים.
ככל שרשתות האספקה ממשיכות לגדול בגודלן ובמורכבותן, כך גדל גם סיכון הסייבר. הגיע הזמן לעשות מעשה.
פשט את ניהול שרשרת האספקה שלך היום
גלה כיצד פתרון ה-ISMS שלנו מאפשר גישה פשוטה, מאובטחת ובת קיימא לניהול שרשרת אספקה וניהול מידע עם ISO 27001 ולמעלה מ-50 מסגרות נוספות.
