forsyningsblog

Navigering i kompleksiteten af ​​Supply Chain Information Security: Indsigt fra ISMS. online's State of Information Security Report

I slutningen af ​​2022 blev vi bedt om at liste top cybertrends, vi forventede at se dominere overskrifterne i 2023, og vi markerede forsyningskæden. Og dreng, havde vi ret! De sidste tre måneder har sat forsyningskædesikkerheden i søgelyset og af alle de forkerte årsager.

I marts, IT outsourcing gigant Capita led et ransomware-brud, der påvirker mange offentlige og private kunder, herunder Royal Mail, Axa og USS, en af ​​Storbritanniens største pensionsfonde. Mens den Storbritanniens vicepremierminister, Oliver Dowden, advarede om risikoen for kritiske nationale infrastrukturforsyningskæder og udstedte en formel advarsel til virksomheder om indkommende angreb fra uforudsigelige aktører

For nylig blev store mærker, herunder BA, Boots og BBC, fanget af et personligt og økonomisk databrud, der påvirker personale og kunder. Synderen? En fejl i et filoverførselsværktøj kaldet MOVEit, som deres lønudbyder, Zellis, brugte.

De udfordringer, som Supply Chain Security står over for

Så hvorfor virker forsyningskædesikkerhed så vanskelig for organisationer at komme ovenpå? En af de kritiske udfordringer er den øgede kompleksitet og indbyrdes afhængighed af globale forsyningskæder. Organisationer har ofte begrænset synlighed og kontrol over deres udvidede netværk, hvilket gør det udfordrende at sikre sikkerheden af ​​data og systemer uden for deres umiddelbare rækkevidde.

Derudover står forsyningskædens informationssikkerhed over for sårbarheder såsom utilstrækkelig sikkerhedspraksis fra leverandører, svage autentificeringsmekanismer, forældet software og endda potentielle forsyningskædeforstyrrelser forårsaget af naturkatastrofer eller geopolitiske begivenheder.

Virkningen af ​​et forsyningskædebrud kan være alvorlig og vidtrækkende. Det kan ikke kun føre til økonomiske tab, omdømmeskader og juridiske konsekvenser, men det kan også forstyrre driften og kompromittere kundernes og interessenternes tillid. Den indbyrdes forbundne karakter af forsyningskæder betyder, at et brud i én organisation kan have kaskadevirkninger på flere enheder i kæden, hvilket forstærker den potentielle skade.

Hvad Status of Information Security Report fortæller os om Supply Chain Security

På trods af de veldokumenterede risici og den voksende række af overskrifter, mister mange virksomheder stadig deres forsyningskæder af syne. Faktisk ifølge vores Status for informationssikkerhedsrapport 2023, kun 30 % af organisationerne mente, at de kæmpede med at styre deres forsyningskæde, men over 57 % indrømmede at have oplevet mindst én cyberhændelse som følge af kompromis i forsyningskæden inden for de sidste 12 måneder, hvor mange indrømmede mere end én hændelse.

Hvor kommer denne afbrydelse fra? Det NCSC har for nylig udført nogle undersøgelser af deres egen og fandt, at "lidt over hver tiende virksomhed gennemgår de risici, som deres umiddelbare leverandører udgør (13%), og andelen for den bredere forsyningskæde er halvdelen af ​​dette tal (7%)."

Så selvom mange organisationer forstår, at deres forsyningskæde burde være til bekymring, er der stadig en:

  • mangel på investeringer for at beskytte mod denne cyberrisiko
  • begrænset synlighed i forsyningskæder
  • utilstrækkelige værktøjer og ekspertise til at evaluere leverandørers cybersikkerhed

mangel på klarhed omkring, hvad du bør bede dine leverandører om at gøre

Disse problemer efterlader forsyningskæder udsat og risikerer at blive udnyttet af cyberkriminelle.

Regulatoriske udfordringer og forsyningskædesikkerhed

I de sidste 12 måneder har næsten to tredjedele (60%) af britiske virksomheder modtaget en bøde på grund af databrud eller lovovertrædelser. Det samlede beløb, der blev betalt i bøder, var næsten £250,000.

De mest almindelige bøder for databrud varierede fra £50,000 til £100,000 (21%), efterfulgt af £100,000 til £250,000 (17.5%). Næsten 21 % af de adspurgte modtog bøder på over 250,000 £, hvor knap halvdelen indrømmede at have modtaget en bøde fra 500,000 £ til svimlende 1,000,000 £.

Af disse bøder skyldtes alarmerende 42 % enten direkte eller indirekte et databrud eller en hændelse, der omfattede en forsyningskæde eller en tredjepartsleverandørkompromisaspekt. Fremhæv, hvor integreret leverandørstyring er for en organisations informationssikkerhed og overholdelse af lovgivning.

Nøgletrends, der påvirker forsyningskædesikkerheden

En af de vigtigste ting fra State of Information Security Report er den voksende sofistikering af cyberangreb rettet mod forsyningskæder. Cyberkriminelle anvender avancerede vedvarende trusler (APT'er), som er snigende og meget målrettede angreb, der har til formål at kompromittere integriteten af ​​forsyningskæden. Disse angreb kan forblive uopdaget i længere perioder, hvilket giver trusselsaktører mulighed for at få uautoriseret adgang til følsomme data eller endda manipulere eller tage kontrol over kritiske systemer.

Når angriberne først er i systemet, vil de ofte kræve løsesum for at få adgang tilbage til disse kritiske systemer eller true med at frigive følsomme data, medmindre de betales. Næsten 25 % af organisationerne i vores undersøgelse var blevet holdt til løsesum inden for de sidste 12 måneder, med yderligere 25 %, der også havde oplevet netværksindtrængen i samme periode.

Desuden kaster rapporten lys over den stigende udbredelse af kompromisangreb i forsyningskæden, hvor 19 % af de adspurgte angiver, at de var blevet påvirket på denne måde i de sidste 12 måneder. I disse scenarier udnytter angribere sårbarheder i en eller flere forsyningskædekomponenter til at infiltrere hele økosystemet.

For eksempel, ved at kompromittere en leverandørs netværk eller systemer, kan angribere få uautoriseret adgang til downstream-partnere, hvilket fører til en ringvirkning af sikkerhedsbrud. Dette understreger forsyningskædesikkerhedens indbyrdes forbundne forbindelse og indbyrdes afhængighed, hvilket gør det afgørende for organisationer at vurdere og afbøde risici ikke kun inden for deres systemer, men også på tværs af hele deres forsyningskædenetværk.

En anden bekymrende tendens identificeret i rapporten er stigningen i phishing-angreb i forsyningskæden. Cyberkriminelle anvender social engineering-teknikker til at bedrage enkeltpersoner i forsyningskæden, narre dem til at videregive følsomme oplysninger eller utilsigtet downloade ondsindet software.

Disse phishing-angreb kan være overbevisende og efterligner ofte betroede leverandører, leverandører eller interne interessenter. Det er derfor måske ikke overraskende, at 28 % af de adspurgte i undersøgelsen sagde, at de var blevet brudt som følge af et phishing-angreb rettet mod deres medarbejdere inden for de sidste 12 måneder. Organisationer skal uddanne deres medarbejdere om disse trusler og implementere robuste e-mail-sikkerhedsforanstaltninger for at bekæmpe disse stadig mere sofistikerede phishing-forsøg.

Almindelige forsyningskædesårbarheder og angrebsvektorer

ISMS.onlines State of Information Security Report afslører også flere almindelige sårbarheder og angrebsvektorer, som trusselsaktører udnytter til at kompromittere leverandørsikkerheden.

En udbredt sårbarhed er svag leverandørkontrol. Mange leverandører har muligvis ikke robuste sikkerhedsforanstaltninger, hvilket gør dem til et let mål for cyberangreb. Disse sårbarheder kan omfatte forældet software, utilstrækkelig patch-administration eller slap adgangskontrol. Angribere udnytter disse svagheder for at få uautoriseret adgang til følsomme oplysninger eller indføre ondsindet kode i forsyningskædens økosystem.

En anden sårbarhed opstår som følge af manglende due diligence under leverandør-onboarding. Organisationer overser ofte vigtigheden af ​​grundigt at undersøge deres leverandørers sikkerhedspraksis, før de indgår i forretningsforbindelser. Dette tilsyn skaber et potentielt hul i forsyningskædens forsvar, hvilket giver angribere mulighed for at udnytte det svageste led. For eksempel kan en leverandør med utilstrækkelige sikkerhedsforanstaltninger utilsigtet udsætte hele forsyningskæden for betydelige risici.

Utilstrækkelig sikkerhedsbevidsthed og uddannelse på tværs af forsyningskæden er en anden sårbarhed, som angribere udnytter. Medarbejdere på forskellige niveauer i forsyningskæden har muligvis ikke tilstrækkelig viden om bedste praksis for cybersikkerhed eller de potentielle trusler, de står over for. Denne videnskløft efterlader dem modtagelige for social engineering-angreb, phishing-forsøg eller utilsigtet introduktion af malware i systemet.

Faktisk havde mindre end halvdelen af ​​de adspurgte organisationer leveret regelmæssig informationssikkerheds- eller databevidsthedstræning i løbet af de sidste 12 måneder (47 %), hvilket tyder på, at 53 % af organisationerne endnu ikke havde leveret regelmæssig personalebevidsthedstræning overhovedet. Organisationer skal prioritere uddannelse i sikkerhedsbevidsthed og etablere en årvågenhedskultur på tværs af hele forsyningskæden.

Rapporten understreger også de risici, der er forbundet med tredjeparts software og hardwarekomponenter. Integrering af disse komponenter i forsyningskæden introducerer et niveau af afhængighed af eksterne enheder, hvilket øger angrebsoverfladen og potentielle sårbarheder. Ondsindede aktører kan kompromittere disse komponenter, hvilket fører til forsyningskædeforstyrrelser, databrud eller introduktion af kompromitteret software eller hardware.

Desuden udgør insidertrusler inden for forsyningskæden en betydelig risiko. Insidertrusler kan opstå, når personer med autoriseret adgang til forsyningskædens økosystem misbruger deres privilegier eller bevidst engagerer sig i ondsindede aktiviteter. Dette kan være en utilfreds medarbejder, en entreprenør med uautoriseret adgang eller en kompromitteret insider. Over 20 % af dem i vores undersøgelse havde oplevet en hændelse som følge af en insider-trusselkompromis i de sidste 12 måneder. Sådanne trusler kan have alvorlige konsekvenser, herunder databrud, tyveri af intellektuel ejendom eller sabotage.

At forstå disse sårbarheder er afgørende for, at organisationer kan udvikle målrettede risikobegrænsende strategier. Organisationer kan forbedre deres informationssikkerhed i forsyningskæden betydeligt ved at identificere og håndtere svage leverandørkontroller, implementere strenge due diligence-processer, fremme sikkerhedsbevidsthed og træningsprogrammer og nøje administrere tredjeparts software- og hardwarekomponenter.

Navigering i kompleksiteten af ​​Supply Chain Information Security

Den stigende afhængighed af tredjepartsrelationer og det udviklende trussellandskab nødvendiggør en omfattende tilgang til at mindske risici og beskytte følsomme data. Lad os udforske nogle nøgleområder, der skal tages i betragtning, når vi navigerer i forviklingerne af forsyningskædens informationssikkerhed.

Risikovurdering og afbødningsstrategier:

En grundig risikovurdering er grundlaget for effektiv forsyningskædeinformationssikkerhed. Det involverer at identificere og evaluere potentielle sårbarheder og trusler inden for forsyningskædens økosystem. Organisationer kan prioritere risici, allokere ressourcer effektivt og implementere målrettede afbødningsstrategier ved at udføre regelmæssige vurderinger. Disse strategier kan omfatte datakryptering, adgangskontrol, regelmæssige sikkerhedsrevisioner og løbende overvågning for at opdage og adressere sårbarheder omgående.

Etablering af en robust forsyningskædesikkerhedsramme:

Organisationer skal etablere en robust sikkerhedsramme for at styre forsyningskædens informationssikkerhed effektivt. Denne ramme bør skitsere klare politikker, procedurer og retningslinjer for at sikre ensartet sikkerhedspraksis i hele forsyningskæden. Det bør omfatte sikkerhedskrav til leverandører, entreprenører og andre tredjepartspartnere og politikker for sikker datadeling og -transmission. Regelmæssige vurderinger og audits kan validere rammens effektivitet og drive løbende forbedringer.

Samarbejdsindsats og partnerskaber:

Organisationer bør fremme åben kommunikation og samarbejde med leverandører, leverandører og andre interessenter for at tilpasse sikkerhedspraksis, dele trusselsintelligens og styrke sikkerhedspositionen. Samarbejdsinitiativer kan omfatte informationsdelingsplatforme, fælles sikkerhedsaudits og regelmæssige sikkerhedstrænings- og oplysningsprogrammer.

Tredjeparts risikostyring:

Det er vigtigt at etablere robuste tredjeparts risikostyringsprocesser. Dette involverer udførelse af due diligence ved udvælgelse af partnere, vurdering af deres sikkerhedspraksis og etablering af kontraktlige aftaler, der skitserer sikkerhedsforventninger og -ansvar. Regelmæssig overvågning og revision af tredjeparts sikkerhedskontroller bør udføres for at sikre løbende overholdelse.

Hændelsesrespons og genopretningsplaner:

På trods af proaktive sikkerhedsforanstaltninger kan der stadig forekomme hændelser. Det er afgørende at have veldefinerede hændelsesrespons- og genopretningsplaner på plads. Disse planer bør skitsere de skridt, der skal tages i tilfælde af et sikkerhedsbrud, herunder hændelsesdetektion, indeslutning, undersøgelse og genopretning. Organisationer bør udføre regelmæssige hændelsesberedskabsøvelser og simuleringer for at teste deres planers effektivitet og identificere forbedringsområder.

En proaktiv og omfattende tilgang til informationssikkerhed i forsyningskæden er afgørende for langsigtet succes og forretningskontinuitet i et trusselslandskab i konstant udvikling.

Hvordan ISO 27001 kan hjælpe med at opnå effektiv Supply Chain Management

ISO 27001 er en internationalt anerkendt standard for informationsstyring, men det handler i virkeligheden om risikostyring. At arbejde inden for ISO 27001-rammen vil fremme adfærd og sikkerhedsfordele for enhver virksomhed, der ønsker at forbedre sin cyberresiliens og effektivt styre deres forsyningskædesikkerhed.

ISO 27001 råder virksomheder til at have somoverskuelig proces på plads for onboarding og styring af leverandører. Fokuser især på følgende:

  1. Etablering af en formel politik for leverandører, som skitserer dine krav til at mindske risici forbundet med tredjeparter
  2. Aftale og dokumentere disse krav med hver leverandør
  3. Tjek, at leverandører har processer på plads for at opfylde passende niveauer af basissikkerhed (inklusive deres egne forsyningskæder). Dette kunne gøres via fokuserede revisioner, spørgsmål eller kontrol for akkreditering med ISO 27001
  4. Vedligeholdelse af en løbende opdateret liste over godkendte leverandører
  5. Vurderer løbende, om leverandører opfylder dine sikkerhedskrav.
  6. Sikre, at eventuelle teknologi- eller procesændringer omgående markeres, og at du forstår deres indvirkning på leverandørrisiko.

 

Det kan virke som et vigtigt råd med sund fornuft, men det kan spare organisationer for tid, penge, skade på omdømme og frustration, hvis det implementeres korrekt. Derudover kan opnåelse af overholdelse af ISO 27001-rammen give en betydelig forretningsfordel ved at demonstrere dine certificerede sikkerhedsoplysninger til nuværende og fremtidige kunder.

Efterhånden som forsyningskæder udvides i størrelse og kompleksitet, stiger de tilhørende cyberrisici også. Organisationer skal træffe afgørende foranstaltninger for at beskytte deres oplysninger og aktiver. Ved at udnytte ressourcer som f.eks vejledning om kortlægning af forsyningskæder, der tilbydes af NCSC og ved at implementere et ISMS baseret på ISO 27001, kan organisationer styrke deres forsyningskæderisikostyringspraksis og beskytte deres operationer mod nye cybertrusler. Nu er det tid til at prioritere proaktive foranstaltninger for at løse disse udfordringer direkte.

Du kan læse hele rapporten State of Information Security her: https://www.isms.online/state-of-infosec-23/

Læs rapporten

Forfatter

Rebecca Harper

Rebecca er ISMS.online Head of Content Marketing. Med over 12 år i informations- og cybersikkerhedsindustrien er Rebecca dedikeret til at uddanne, opbygge bevidsthed og styrke virksomheder til at nå mål for compliance, information og cybersikkerhed.

Se alle indlæg af Rebecca Harper

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!