forsyningskædevejledning fra globale cybersikkerhedsorganer

Internationale cyberbureauer udsteder forsyningskædevejledning efter seneste stigning i cyberangreb

Sidste måned udsendte cybersikkerhedsstyrende organer fra USA, Storbritannien, Australien, Canada og New Zealand som en del af en fælles rådgivning. officiel vejledning om cybersikkerhed i forsyningskæden at hjælpe organisationer med at holde deres oplysninger og data sikre.   

Den friske vejledning, der fokuserer på at støtte mellemstore til store virksomheder og dem inden for organisationer, der er ansvarlige for risiko-, informations- og cybersikkerhedsstyring, vil hjælpe med at etablere eller forbedre organisatoriske tilgange til vurdering af cybersikkerhedsrisici i forsyningskæden. 

Hvorfor fokuserer cyberbureauer på forsyningskædesikkerhed

Forsyningskædekompromis har ramt overskrifterne i hidtil usete mængder. SolarWinds-angrebet tilbage i 2020 åbnede tilsyneladende sluserne, og brudene stopper ikke med at komme.  

Alene i den sidste måned så MediBank i Australien over 4 millioner patientjournaler kompromitteret og lækket online. Supeo, der er leverandør til DSB, det største tognetværk i Danmark, fik et brud, der fysisk forhindrede togene i at køre i over to timer. Og Chase UK fik et angreb, der forhindrede deres kunder i at få adgang til deres bankapp i næsten to dage.  

Da organisationer er afhængige af et voksende antal leverandører til at levere produkter, systemer og tjenester, øges risikoen for, at sårbarheder introduceres eller udnyttes via disse leverandører betydeligt. Denne stigende kompleksitet gør det vanskeligt for virksomheder at vide, hvor sikker deres forsyningskæde er, og om de har tilstrækkelig beskyttelse på plads.  

I sidste ende kan disse cyberangreb have en ødelæggende indvirkning på virksomheder med dyre og langsigtede konsekvenser for berørte organisationer, deres kritiske leverandører og deres kunder.  

Hvorfor er forsyningskædesikkerhed så svært for virksomheder at håndtere   

På trods af de veldokumenterede risici mister mange virksomheder stadig deres forsyningskæder af syne. Faktisk ifølge 2022 undersøgelse af sikkerhedsbrud, "Lidt over hver tiende virksomhed gennemgår de risici, som deres umiddelbare leverandører udgør (13%), og andelen for den bredere forsyningskæde er halvdelen af ​​dette tal (7%)." 

Cyberrisiciene forbundet med et forsyningskædeangreb har aldrig været højere; angribere udvikler angrebsmetoder og værktøjer i et stadig mere alarmerende tempo. Alligevel, på trods af voksende offentlig bevidsthed om truslerne og øget lovgivningsmæssigt tilsyn, holder virksomhederne ikke trit.  

Ifølge National Cyber ​​Security Center (NCSC), mens mange organisationer forstår, at deres forsyningskæde bør give anledning til bekymring, er der stadig en:  

  • mangel på investeringer for at beskytte mod denne cyberrisiko 
  • begrænset synlighed i forsyningskæder 
  • utilstrækkelige værktøjer og ekspertise til at evaluere leverandørers cybersikkerhed 
  • mangel på klarhed omkring, hvad du bør bede dine leverandører om at gøre

Disse problemer efterlader forsyningskæder udsat og risikerer at blive udnyttet af cyberkriminelle.   

Praktiske trin for organisationer til at sikre deres forsyningskæde 

Vejledningen udgivet af cyberregeringsorganerne opdeler den bedste tilgang i fem nøgletrin: 

  1. Forstå hvorfor din organisation bør bekymre sig om forsyningskædesikkerhed 

 Organisationer skal forstå, hvad der kræver beskyttelse i deres økosystem, og hvorfor det skal sikres for at etablere meningsfuld kontrol over forsyningskæden.  

I sidste ende skal effektiv cybersikkerhed passe til dine systemer, dine processer, dit personale, din kultur og det risikoniveau, du er villig til at tage.   

  1. Udvikle en tilgang til vurdering af forsyningskædesikkerhed 

 Bestem de kritiske aspekter i din organisation, som du har brug for at beskytte mest (dine 'kronjuveler'), under hensyntagen til potentielle trusler, sårbarheder, påvirkning og din organisations risikovillighed.  

Brug din organisations identificerede nøgleaspekter til at oprette en række niveaudelte leverandørsikkerhedsprofiler. Hver profil bør repræsentere et stigende omfang af påvirkning, og tildel derefter disse til hver af dine leverandører.  

  1. Anvend tilgangen til nye leverandørsamtaler 

Integrer ny sikkerhedspraksis gennem hele kontraktens livscyklus for nye leverandører, fra indkøb og leverandørvalg til kontraktlukning.   

Denne proces bør også begynde at skabe bedre sikkerhedsbevidsthed blandt dine medarbejdere og skabe en kultur med løbende overvågning af overholdelse af sikkerhed og informationsstyring.  

  1. Integrer tilgangen i eksisterende leverandøraftaler

Med en ny tilgang aftalt, gennemgå dine eksisterende kontrakter enten ved fornyelse eller tidligere, når det drejer sig om kritiske leverandører. 

  1. Forbedre løbende

Regelmæssig forfining af din tilgang, efterhånden som nye problemer dukker op, vil reducere sandsynligheden for, at risici påvirker din organisation via forsyningskæden.  

Hvordan ISO 27001 kan muliggøre bæredygtig forsyningskædesikkerhed  

ISO 27001 er en internationalt anerkendt standard for informationsstyring, men det handler i virkeligheden om risikostyring. Og det er det, vejledningen udgivet af NCSC, CISA, FBI, ACSC, CCCS og NZ NCSC bliver ved med at vende tilbage til, og det er derfor, at arbejde inden for ISO 27001-rammen vil fremme adfærd og sikkerhedsfordele for enhver virksomhed, der ønsker at forbedre sin cyberresiliens. og adskiller sig fra sine konkurrenter.  

ISO 27001 råder virksomheder til at have en ligetil proces på plads for onboarding og styring af leverandører. Fokuser især på følgende:  

  • Føring infosec politikker, ajourførte procedurer og kontroller 
  • Vedligeholdelse af berørte kritiske forretningsoplysninger, systemer og processer 
  • Sørg for at revurdere eventuelle identificerede risici og kontrollere, at leverandører opfylder løbende sikkerhedskrav  

Det kan virke som et vigtigt råd med sund fornuft, men det kan spare organisationer for tid, penge, skade på omdømme og frustration, hvis det implementeres korrekt. Derudover kan opnåelse af overholdelse af ISO 27001-rammen give en betydelig forretningsfordel ved at demonstrere dine certificerede sikkerhedsoplysninger til nuværende og fremtidige kunder. 

Styrk din forsyningskædesikkerhed i dag  

Hvis du ønsker at starte din rejse mod bedre forsyningskædesikkerhed, kan vi hjælpe.   

Vores ISMS-løsning muliggør en enkel, sikker og bæredygtig tilgang til informationsstyring med ISO 27001, NIST og andre rammer. Det tilbyder forsyningskædesikkerhedsmoduler, der hurtigt kan vedtages, tilpasses og tilføjes over tid for at opnå succesfuld cybersikkerhed og bedre indførelse af sikker adfærd i din organisation. Lås op for din konkurrencefordel i dag.  

Book en demo

Forfatter

Rebecca Harper

Rebecca er ISMS.online Head of Content Marketing. Med over 12 år i informations- og cybersikkerhedsindustrien er Rebecca dedikeret til at uddanne, opbygge bevidsthed og styrke virksomheder til at nå mål for compliance, information og cybersikkerhed.

Se alle indlæg af Rebecca Harper

Relaterede indlæg

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere