Wat het Marks & Spencer en Jaguar Land Rover (JLR) in gemeen? Hulle het albei vanjaar beduidende ransomware-oortredings gely nadat bedreigingsakteurs verskaffers geteiken het. In die geval van M&S word vermoed dat dit 'n Tata-kontrakteur se skootrekenaar was. Vir JLR, dit was 'n inligtingsdief wat 'n LG Electronics-werknemer met toegang tot die motorvervaardiger se netwerk geteiken het.
Beide beklemtoon die groeiende bedreiging wat dikwels ondeursigtige en brose voorsieningskettingafhanklikhede vir organisasies inhou. Die uitdaging sal waarskynlik net toeneem namate 'n nuwe wêreldwye handelsoorlog firmas dwing om voorsieningskettings vinnig te herontwerp, met min tyd om nuwe vennote te ondersoek. Soos nuwe navorsing toon, is daar baie om reg te stel.
'n Probleem in twee dele
Volgens die Wêreld Ekonomiese Forum (WEF) identifiseer meer as die helfte (54%) van globale organisasies voorsieningskettinguitdagings as hul grootste hindernis om kuberveerkragtigheid te bereik. “Die toenemende kompleksiteit van voorsieningskettings, tesame met 'n gebrek aan sigbaarheid en toesig oor die sekuriteitsvlakke van verskaffers, het na vore gekom as die grootste kuberveiligheidsrisiko vir organisasies,” het sy verslagnotas.
Die uitdaging van die voorsieningskettingsekuriteit kom in twee dele voor:
- Sagteware wat wanware of kwesbaarhede in vertroude omgewings bekendstel. Oopbronkomponente is veral hier skuldig, aangesien hulle dikwels nie behoorlik gedokumenteer word nie, wat lei tot sekuriteit. voorvalle soos Log4ShellMaar hulle is nie die enigste risiko nie. Eie sagteware soos Beweeg dit en GoAnywhere is ook in die verlede geteiken met nul-dag-aanvalle, vir grootskaalse datadiefstal en afpersingsveldtogte, wat miljoene stroomafkliënte beïnvloed het.
- 'n Gekompromitteerde voorsieningskettingvennoot – soos 'n MSP, 'n SaaS-verskaffer of 'n professionele dienstefirma – kan beduidende sekuriteitsrisiko's skep. Teenstanders kan dalk direk toegang tot 'n organisasie se data kry, indien dit deur die vennoot gestoor word, of aanmeldings by die organisasie se netwerk-/wolkrekeninge via die verskaffer verkry. Hulle kan ook verskaffers met ransomware teiken, wat 'n verwoestende impak op die hele voorsieningsketting kan hê, volgens die Synnovis NHS-aanval.
Ongelukkig beklemtoon twee onlangs gepubliseerde verslae die blywende uitdagings van die vermindering van voorsieningskettingrisiko. LevelBlue-studie bevind dat, van organisasies wat sê hulle het "baie lae sigbaarheid" in die sagtewarevoorsieningsketting, 80% 'n sekuriteitsbreuk in die afgelope 12 maande ervaar het. Dit is in vergelyking met slegs 6% wat beweer dat hulle "baie hoë sigbaarheid" het.
afsonderlik, Risiko Grootboek verslae dat byna die helfte (46%) van Britse organisasies die afgelope jaar ten minste twee kuberveiligheidsvoorvalle in hul voorsieningsketting ervaar het. Die verslag toon ook dat 90% van die respondente kubervoorvalle in die voorsieningsketting as 'n topbekommernis vir 2025 beskou, en slegs twee-vyfdes (37%) beskryf hul derdeparty-risikobestuur as "baie effektief".
Reguleerders wil aksie hê
Volgens LevelBlue is uitvoerende hoofde geneig om meer bekommerd te wees oor voorsieningskettingrisiko as hul eweknieë in die topbestuur, met 40% wat dit as die grootste sekuriteitsrisiko in die organisasie noem teenoor veel minder HUBs (29%) en HUBs (27%). Dit sal vermoedelik ekstra druk van bo af op HUBs en hul spanne beteken. Maar die waarheid is dat hulle reeds onder uiterste druk is om te voldoen aan 'n nuwe reeks regulasies wat op verskafferrisiko gemik is. Dit sluit in:
DORA: Onder andere vereis DORA dat finansiële entiteite die risiko van derdeparty-IT-verskaffers as 'n ingebedde deel van algehele IT-risikobestuur bestuur, onder toesig van die direksie. Hulle moet ook 'n gedetailleerde, opgedateerde register van inligting oor alle kontrakte met hierdie verskaffers byhou en deeglike omsigtigheidsondersoeke op nuwe verskaffers uitvoer.
NIS 2: Vereis dat alle organisasies binne die bestek voorsieningskettingrisikobestuursbeleide in plek het en "kwesbaarhede spesifiek vir elke direkte verskaffer en diensverskaffer" moet assesseer. Senior direkteure en bestuurders is direk verantwoordelik vir die toesig hieroor.
Wetsontwerp op Kuberveiligheid en Veerkragtigheid: Die VK se opdatering van NIS sal vereis dat gereguleerde organisasies onder andere verskaffersverhoudinge moet assesseer en versterk, robuuste risikobestuur met derde partye moet implementeer en sekuriteitsverwagtinge in kontrakte moet skryf.
Aksie
LevelBlue se hoofevangelis, Theresa Lanowitz, voer aan dat, wanneer dit by die sagteware-voorsieningsketting kom, sigbaarheid voorkeur moet geniet – “veral namate voorsieningskettings in grootte en kompleksiteit groei, en organisasies meer KI-aangedrewe oplossings aanneem”.
Sy sê vir ISMS.online: “KIN-beamptes moet op vier sleutelaksies fokus: die bewustheid van die topbestuur benut om hulpbronne te beveilig, intern in lyn te kom om die belangrikste kwesbaarhede te identifiseer, in proaktiewe sekuriteitsmaatreëls te belê, en gereeld verskaffers se kuberveiligheidspraktyke te assesseer. Hierdie gebalanseerde, proaktiewe benadering sal sigbaarheid, voorbereiding en aanspreeklikheid regdeur die voorsieningsketting versterk.”
Risk Ledger se hoof-kuberveiligheidsstrateeg, Justin Kuruvilla, sê aan ISMS.online dat organisasies 'n "aanvaar oortreding"-ingesteldheid moet aanneem en hul sekuriteitsinfrastruktuur moet ontwerp om enige kwaadwillige aktiwiteit te bevat en te beperk.
“Dit is dus noodsaaklik om sigbaarheid te verkry in derde-, vierde- en selfs nde-party-verhoudings. Hierdie breër siening help sekuriteitsleiers om 'n meer akkurate begrip van hul blootstelling te bou en versagtingspogings te prioritiseer waar dit die meeste saak maak,” voeg hy by.
Kuruvilla voer aan dat sagteware-voorsieningskettings besondere ondersoek vereis, gegewe die potensiële impak van kwesbaarhede in wyd gebruikte kode.
“Organisasies moet verwag dat verskaffers veilige ontwikkelingspraktyke sal aanneem wat in lyn is met bedryfserkende raamwerke,” voeg hy by. “Die mate van behoorlike sorgvuldigheid kan wissel na gelang van die verskaffer se kritieke aard en die organisasie se risiko-aptyt. Maar dit moet elemente van veilige sagteware-ontwikkeling insluit, soos CI/CD-praktyke, kwesbaarheidsbestuur en die voorsiening van 'n sagtewarelys van materiaal (SBoM).”
Hoe ISO 27001 kan help
LevelBlue se Lanowitz voer aan dat beste praktykstandaarde soos ISO 27001 'n nuttige fondament kan bied waarop beter voorsieningskettingsekuriteit gebou kan word.
“Aangesien organisasies sukkel met gefragmenteerde risikosigbaarheid en inkonsekwente praktyke, kan ISO 27001 help om voldoeningspogings oor streke en sektore heen te verenig en te vereenvoudig. Deur die standaard te benut, kan KISO's 'n gestruktureerde benadering tot risikobestuur en voortdurende verbetering volg,” voeg sy by.
“Met baie regulasies wat dieselfde kern beste praktyke deel – insluitend risikobepalings, toegangsbeheer, verskafferseksamen en voorvalreaksiebeplanning – kan die implementering van ISO 27001 ook voldoeningsoorbodigheid verminder.”
Kuruvilla van Risk Ledger stem saam, hoewel hy waarsku teen nakoming van "merkblokkies".
In plaas daarvan bereik organisasies wat 'n robuuste, risikogebaseerde benadering tot die bestuur van kuberrisiko's prioritiseer, tipies voldoening as 'n natuurlike uitkoms, sluit hy af.
