capita-blog om databrud

Hvad Capita Breach fortæller os om styring af forsyningskæderisiko

Da IT-outsourcinggiganten Capita led et ransomware-brud i marts, forsøgte den sit bedste for at kontrollere mediefortællingen. Men forsyningskædehændelser som denne har for vane at løbe væk fra selv de bedst øvede PR-hold. Efter et par uger med dryp-dryp-nyheder fra Capita kom firmaets værste mareridt: en strøm af rapporter om brud fra virksomhedskunder. På tværs af denne og en anden hændelse, der involverer cloud-fejlkonfiguration, er antallet af ofre nu steget til mindst 90.

Der er masser af takeaways til sikkerheds- og overholdelsesteams. Men de kan koges ned til én idé. Du kan have det bedste program til reduktion af cyberrisiko i verden på plads, men din organisation kan stadig være kritisk udsat for hændelser, hvis det ikke dækker forsyningskæden.

Ifølge et skøn sidste år led 98 % af globale organisationer et forsyningskædebrud i 2021. Det er tid til at udvide synlighed og kontrol fra inde til uden for virksomheden.

Hvad skete der med Capita?

Capita har været fåmælt om den "hændelse", den siger fandt sted den 22. marts, hvilket afslører kun til dato at "nogle data blev eksfiltreret fra mindre end 0.1 % af dets serverejendomme". Faktisk, rapporter antyder at ransomware-gruppen BlackBasta stod bag bruddet, hvor ofrenes personlige og bankkontooplysninger allerede er solgt på det mørke web. Dette har skarpe konsekvenser for firmaets mange erhvervskunder og i sidste ende deres kunder.

Capita har kontrakter for milliarder af pund med offentlige og private kunder, herunder Royal Mail, Axa og USS, en af ​​Storbritanniens største pensionsfonde. Regulator Information Commissioner's Office (ICO) er blevet oversvømmet med brudmeddelelser fra disse kunder. Samtidig har Pensions Regulator (TPR) har angiveligt skrevet til over 300 fonde for at bede dem om at tjekke, om de også er blevet påvirket.

Capita er ikke den første og vil ikke være den sidste kilde til supply chain cyber risiko. For nylig blev store mærker, herunder BA, Boots og BBC, fanget af et brud på personlige og økonomiske data, der påvirker personale og potentielle kunder. Synderen? En fejl i et filoverførselsværktøj kaldet MOVEit, som deres lønudbyder, Zellis, brugte. Det menes, at tusindvis af virksomheder, direkte og indirekte softwarebrugere, kan være blevet påvirket.

Hvorfor Supply Chain Risk er svær at styre

Da virkningen af ​​begge brud fortsætter med at skabe overskrifter over hele kloden, er tiden nu inde til bedre at forstå forsyningskæderisikoen. Jamie Akhtar, CEO for CyberSmart, hævder, at Capita-hændelsen er et af de bedste eksempler på de sikkerhedsrisici, forsyningskæder udgør.

"Det tjener som en advarsel til det britiske erhvervsliv. Hvis du er en del af en forsyningskæde, vil cyberkriminelle forsøge at målrette dig før eller siden – muligheden for at forårsage forstyrrelser eller stjæle vigtige data er for god til at gå glip af,” siger han. "Så vi opfordrer virksomheder af alle størrelser til at tænke over deres forsyningskæde og risiciene i den."

Simon Newman, administrerende direktør for The Cyberresiliens Center for London, tilføjer, at angribere i stigende grad målretter mod store og komplekse forsyningskæder, fordi den interne sikkerhedsindsats er blevet forbedret.

"Evnen til at kompromittere sikkerheden for en leverandør giver ikke kun en potentiel bagdør ind til større organisationer, men da tredjeparten sandsynligvis også vil levere produkter eller tjenester til andre virksomheder, betyder det, at omfanget og omfanget af angrebet er langt større,« advarer han.

Så hvorfor er forsyningskæderisiko så svær at styre?

Et forsyningskædeangreb kan antage mange former. Det kan være, at virksomhedsdata administreres af en leverandør, der efterfølgende bliver brudt (som Capita eller Blackbaud). Det kan være, at en leverandør eller partner med log-ins til dit netværk bliver kompromitteret, hvilket giver hackere adgang til din organisations it-aktiver og data. Dette skete i massivet 2013 Målbrud. Eller det kan endda være, at flere downstream-brugere af kompromitteret software bliver inficeret efter hackere har implanteret malware eller udnytter fejl i den, som det skete med MOVEit og Accellion.

Efterhånden som den digitale transformation fortsætter hurtigt, fortsætter cyberangrebsoverfladen hos leverandører med at vokse. Deres it-miljøer ændrer sig konstant, hvilket kræver tæt og ideelt set konstant undersøgelse. Men det her sker ikke. Ifølge National Cyber ​​Security Center (NCSC), nogle af hovedudfordringerne med risikostyring i forsyningskæden ligger i at få det grundlæggende rigtige, såsom:

  • Forståelse af risici forbundet med fattige forsyningskædesikkerhed
  • Invester mere i risikobegrænsning
  • Forbedring af synlighed i forsyningskæder
  • At få de rigtige værktøjer og ekspertise til at evaluere leverandørers cybersikkerhed
  • Forstå hvilke spørgsmål der skal stilles til leverandører

 

Desværre er den nuværende indsats ikke tilstrækkelig. Ifølge en regeringsrapport, kun omkring én ud af 10 (13%) virksomheder gennemgår de risici, som leverandører udgør. Som nævnt ovenfor omfatter de barrierer, som rapporten nævner, penge, kompetencer, prioritering og at få den korrekte information fra leverandører. Men det er også vigtigt at vide, hvilke leverandører der skal kontrolleres, og hvilke kontroller der skal udføres. Det er her internationalt standarder som ISO 27001 kan hjælpe.

Hvordan ISO 27001 kan hjælpe

Ifølge IBM20 % af databrudshændelser stammer fra leverandører til en gennemsnitlig pris på $4.46 mio. pr. brud, mere end gennemsnittet på tværs af alle typer brud ($4.35 mio.). Dette alene burde være nok til at fokusere sind på opgaven styring af forsyningskæden risikere mere effektivt. Men hvordan? Først skal du overveje NCSC's supply chain mapping (SCM) vejledning, som vil hjælpe dig med at forstå, hvem dine leverandører er, hvad de leverer, og hvordan de leverer det. Det skulle muliggøre mere effektiv risikobaseret beslutningstagning.

Evaluering og styring af leverandørsikkerhed er også en kritisk komponent i et Information Security Management System (ISMS). ISO 27001 kan fortælle dig, hvordan du kommer dertil gennem trin som:

  • Etablering af en formel politik for leverandører, som skitserer dine krav til at mindske risici forbundet med tredjeparter
  • Aftale og dokumentere disse krav med hver leverandør
  • Tjek, at leverandører har processer på plads for at opfylde passende niveauer af basissikkerhed (inklusive deres egne forsyningskæder). Dette kunne gøres via fokuserede revisioner, spørgsmål eller kontrol for akkreditering med ISO 27001
  • Vedligeholdelse af en løbende opdateret liste over godkendte leverandører
  • Vurderer løbende, om leverandører opfylder dine sikkerhedskrav.
  • Sikre, at eventuelle teknologi- eller procesændringer omgående markeres, og at du forstår deres indvirkning på leverandørrisiko.

 

I takt med at forsyningskæder fortsætter med at vokse i størrelse og kompleksitet, vokser cyberrisiko også. Det er tid til at handle.

Forenkle din Supply Chain Management i dag

Find ud af, hvordan vores ISMS-løsning muliggør en enkel, sikker og bæredygtig tilgang til forsyningskædestyring og informationsstyring med ISO 27001 og over 50 andre rammer.

Find ud af mere

Sidst redigeret: 31. januar 2024
Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!