Kortlægning af risici: NCSC's vejledning om forsyningskædesikkerhed
Indholdsfortegnelse:
Cyberangreb, der påvirker en organisations forsyningskæde – snarere end organisationen direkte – bliver stadig mere almindelige.
Hvis din leverandør bliver misligholdt, er en organisations aktiver i fare. Med tanke på dette har angribere vedtaget taktikken med at implementere angreb gennem softwareforsyningskæden. Som tidligere rapporteret, en form for angreb, der først blev fremtrædende med NotPetya ransomware-angrebet i 2017 og SolarWinds-bruddet i 2020, er ved at blive en svøbe for virksomhedernes sikkerhed.
udnyttelse af en sårbarhed i MOVEit filoverførselssoftware at stjæle data og forsøge at afpresse betaling fra brugere af teknologien illustrerer, hvordan forsyningskædeangreb bliver brugt som angrebsvektor af cyberkriminelle såvel som nationalstater.
Kommercielle softwarepakker, open source-komponenter og elementer af cloud-teknologi er alle i fare fra forsyningskædeangreb.
Målene for forsyningskædeangreb kan spænde fra sabotage til malwaredistribution, ransomware og endda cyberspionage. En kæde er kun så stærk som dens svageste komponent, og problemer kan opstå fra leverandører af teknologi til en organisations leverandører lige så meget som fra leverandører, som nogen har et direkte forretningsforhold til, hvilket yderligere komplicerer billedet.
Supply Chain afhængigheder
Det britiske nationale cybersikkerhedscenter (NCSC)'s årlige gennemgang for 2022 udpegede forsyningskædesikkerhed som en vigtig "fremtidig trusselsudfordring". NCSC fulgte denne advarsel tidligere på året med vejledning om, hvordan organisationer kan kortlægge deres forsyningskæderisici.
Vejledningen, der er rettet mod mellemstore til store organisationer, giver praktiske skridt til bedre at vurdere cybersikkerhed i forsyningskæder. Dette er en udfordrende opgave, som NCSC erkender.
"Forsyningskæder er ofte store og komplekse, og det kan være svært at effektivt sikre forsyningskæden, fordi sårbarheder kan være iboende, introduceret eller udnyttet på et hvilket som helst tidspunkt i den," forklarer den britiske regerings informationssikkerhedsagentur.
Den skræmmende opgave med at kortlægge forsyningskædeafhængigheder kan håndteres ved at opdele det i håndterbare dele, herunder:
- Hvilket produkt eller hvilken tjeneste leveres, af hvem, og vigtigheden af dette aktiv for en organisation
- En opgørelse over leverandører og deres underleverandører, der viser, hvordan de er forbundet
Assurance-eksperter har hilst NCSC's kortlægningsrådgivning velkommen.
Piers Wilson, direktør for Chartered Institute of Information Security (CIISec), fortalte ISMS.online: "NCSC-vejledningen fremhæver behovet for at identificere og forstå leverandører og deres individuelle risici på alle niveauer af kæden. Nogle leverandører deler du muligvis data med, mens andre ikke rører dine data, mens de yder kritisk support. Uanset hvad øger alle disse den potentielle angrebsoverflade."
Wilson fortsatte: "Så er der systemiske risici fra f.eks. cloud- eller administrerede tjenesteudbydere, som måske understøtter ikke kun din virksomhed, men andre organisationer, du stoler på."
En del af processen involverer kortlægning af afhængigheder, en proces, der ligner at tage en aktivopgørelse. Wilson forklarede: "De vurderings- og revisionsprocesser, der bruges til at kortlægge forsyningskæden, skal være egnede til formålet, gentagelige og klare forretningsbehov. De skal også give de nødvendige oplysninger om risici, status for cyberhygiejne og den bredere angrebsflade. NCSC's vejledning er et skridt i retning af at opnå dette."
Forsyningskæderisici dukkede op som en kritisk udfordring i ISMS.onlines seneste rapport om status for informationssikkerhed. I en undersøgelse blandt 500 seniormedarbejdere inden for informationssikkerhed nævnte 30 % af de adspurgte håndtering af leverandør- og tredjepartsrisici som en "topinformationssikkerhedsudfordring". Over halvdelen (57 %) af de adspurgte organisationer oplevede et brud på grund af et kompromis i forsyningskæden.
Overbelastning
CIISec advarede om, at kortlægning af forsyningskæden sandsynligvis ville lægge øget pres på allerede hårdt pressede sikkerhedsteams.
CIISecs Wilson kommenterede: "At følge NCSC- og ISO-retningslinjer vil hjælpe sikkerhedsteams med at identificere den mest effektive og effektive måde at kortlægge og beskytte deres forsyningskæder på. Men derudover skal industrien blive ved med at investere i træning og tiltrække frisk blod, så hold får de færdigheder og støtte, de har brug for, og ikke brænder ud.”
Esudarbejdelse af en ramme
ISO 27001 er en international standard for informationssikkerhedsstyringssystemer. Rammen tilbyder retningslinjer for opretholdelse af virksomhedsdatas fortrolighed, integritet og tilgængelighed.
Informationssikkerhedsstandardens bedste praksis-tilgang hjælper organisationer med at administrere deres informationssikkerhed med anbefalinger, der dækker mennesker, processer og teknologi.
NCSC's kortlægningsråd citerer sine egne Cyber Essentials og ISO- og produktcertificeringer som værktøjer, der hjælper med at kortlægge forsyningskæden.
Luke Dash, ISMS.onlines administrerende direktør, sagde, at organisationer er nødt til at arbejde med deres leverandører i en fælles indsats for at kortlægge risici i forsyningskæden ved at bruge ISO 27001 som en guide. "ISO 27001, der er kendt for sin omfattende tilgang til styring af informationssikkerhedsrisici, supplerer perfekt NCSC's forsyningskædekortlægningsrådgivning ved at give en robust ramme for organisationer, der søger at beskytte deres digitale aktiver," forklarede Dash. "Begge enheder prioriterer det kritiske risikovurderingstrin og understreger behovet for organisationer til at identificere og evaluere risici forbundet med deres informationsaktiver og forsyningskæder.
Dash tilføjede: "Ved at gennemføre en fælles risikovurderingsrejse kan organisationer udførligt forstå potentielle sårbarheder og give dem mulighed for at implementere målrettede sikkerhedsforanstaltninger."
En del af risikostyringsprocessen involverer at måle leverandørers sikkerhedsmodenhed, før disse data bruges til at informere indkøbsbeslutninger. ISMS.online's Dash forklarede: "NCSC's forsyningskædekortlægningsråd understreger betydningen af at vurdere leverandørernes sikkerhedspraksis, herunder deres forståelse af nye trusler og hændelsesreaktionskapaciteter. Harmonisering af disse kriterier gør det muligt for organisationer at træffe informerede beslutninger og vælge leverandører med robuste sikkerhedsstillinger, der er i overensstemmelse med deres strenge standarder."
Kontraktlige aftaler spiller også en væsentlig rolle for at skabe sammenhængende rammer. "ISO 27001 fremhæver vigtigheden af at etablere klare aftaler, der definerer informationssikkerhedsansvar og leverandørforventninger," sagde ISMS.online's Dash. "I perfekt afstemning opfordrer NCSC's forsyningskædekortlægningsrådgivning organisationer til at inkorporere sikkerhedskrav i kontraktlige arrangementer, hvilket sikrer overholdelse af strenge sikkerhedsstandarder i hele forsyningskæden."
Kontinuerlig overvågning og gennemgang er vitale komponenter i både NCSC's forsyningskædekortlægningsrådgivning og ISO 27001, hvilket gør det muligt at anvende de gratis rammer sammen med hinanden."ISO 27001's vægt på løbende forbedringer passer problemfrit med NCSC's anbefaling om en regelmæssig revurdering af forsyningskæderisici og periodiske gennemgange af leverandørsikkerhedspraksis," konkluderede ISMS.online's Dash.
"Ved at vedtage denne fælles tilgang forbliver organisationer agile, tager proaktivt fat på nye trusler og sikrer den løbende sikkerhed i deres forsyningskæder."
Forenkle din Supply Chain Management i dag
Find ud af, hvordan vores ISMS-løsning muliggør en enkel, sikker og bæredygtig tilgang til forsyningskædestyring og informationsstyring med ISO 27001 og over 50 andre rammer.
