Verbruikers sien dikwels die meeste kuberaanvalle as iets wat met ander mense gebeur, totdat dit hulle direk raak. Die diefstal van e-posadresse en ander persoonlike inligting het 'n gereelde en alledaagse gebeurtenis geword, maar wanneer 'n misdadiger 'n knoppie halfpad om die wêreld druk en kos van die rakke verdwyn, word dinge skielik werklik.
Dit is wat in Junie gebeur het, toe 'n aanval op die groothandel-kruideniersware-verspreider United Natural Foods (UNFI) sy aanlynbedrywighede tot stilstand gebring het. Die aanval het die maatskappy se vermoë om sy 30,000 XNUMX liggings te bedien, belemmer en kruidenierswinkels gelaat waarsku kliënte oor voedseltekorte en veroorsaak aansienlike ontwrigtings by Amazon-besit Whole Foods, insluitend die sluiting van toebroodjiestasies.
Aanvalle soos hierdie beklemtoon die skade wat 'n kuberinsident kan veroorsaak aan bedrywighede buite 'n enkele maatskappy. Hierdie ontwrigtings kan ander beïnvloed wat daarop staatmaak as deel van hul eie voorsieningskettings, en dit laat die vraag ontstaan: wat kan organisasies doen om hulself te beskerm?
Voorsieningsketting-kuberrisiko bereik krisisafmetings
Dit is nie die eerste aanval wat ons gesien het wat voorsieningskettings ontwrig het nie. Die versekeringsmaatskappy Cowbell het 'n verslag laat verlede jaar wat 'n toename van 431% in voorsieningskettingaanvalle sedert 2021 toon.
Sulke aanvalle word al hoe meer algemeen namate sakebedrywighede toenemend verbind raak en voorsieningskettings meer kompleks word, volgens die verslag, want dit maak hulle moeiliker om te beveilig.
Een van die grootste uitdagings waarmee organisasies te kampe het, is die probleem van 'n enkele punt van mislukking; 'n enkele maatskappy waarop baie ander staatmaak vir produkte en dienste, is 'n teiken van hoë waarde. Die suksesvolle kompromie tussen dit en die inperking versterk die gevolge van 'n enkele aanval.
Ontwrigting as gevolg van voorsieningskettingaanvalle kan suiwer digitaal wees. Die kompromie van SolarWinds-sagteware in 2020 het honderde stelsels by die maatskappy se kliënte kwesbaar gemaak vir inligtingdiefstal. Die uitbuiting van 'n kwesbaarheid in die plaaslike weergawe van die MOVEit-lêerdelingstelsel in 2023 het aanvallers in staat gestel om lêers van honderde van sy kliënte te steel. Beide het dieselfde onderliggende kenmerk gehad: gifstowwe in 'n digitale produk (een doelbewus ingebring, een per ongeluk ingekodeer) het duisende kliënte stroomaf geraak.
Ander kuberaanvalle, soos die UNFI-kraak, lei tot fisiese probleme. Hulle beklemtoon die broosheid in moderne net-tydse voorsieningskettings, wat dit nie net 'n bedreiging vir kliëntdata maak nie, maar ook 'n maatskaplike risiko.
Noemenswaardige voorvalle in die verlede wat fisiese voorsieningskettings geraak het, sluit in die aanval op die Colonial-pyplyn in 2021. Hoewel dit die maatskappy se administratiewe netwerk geteiken het, het dit sy petrolafleweringsoperasie uit versigtigheid gesluit, wat tekorte veroorsaak het wat miljoene geraak het.
In dieselfde jaar het 'n losprysware-aanval op die sagtewareverskaffer vir afstandbestuur, Kaseya, kliënte geraak wat bestuurde IT-dienste verskaf het. Dit het deurgesyfer na kliënte, insluitend die Sweedse kruideniersketting Coop, wat 800 winkels moes sluit. Hierdie aanvalle was steeds digitaal, maar die eindresultate was kineties; in plaas daarvan dat hul data blootgestel is, kon mense nie bestuur of eet nie.
Dit benodig 'n reaksie op direksievlak
Risiko's in die voorsieningsketting bring nuwe bestuursvereistes vir rade mee, veral namate reguleerders die kwessie begin bevorder. Byvoorbeeld die EU se Wet op Digitale Operasionele Veerkragtigheid (DORA) stel verskeie vereistes vir finansiëledienstemaatskappye. Dit dwing streng omsigtigheidsvereistes af wanneer met tegnologie- en diensverskaffers gewerk word, tesame met minimum sekuriteitsvereistes in kontrakte. Ooreenkomste met verskaffers moet ook deurlopende assesseringsverpligtinge insluit wat periodieke kuberveiligheidsassesserings van verskaffers afdwing.
Die Netwerk- en Inligtingsekuriteitsrichtlijn 2 (NIS2)-richtlijn vereis ook strenger sekuriteitsvereistes vir voorsieningskettings.
Volgens Gartner sal professionele persone in die voorsieningsketting toenemend na kuberveiligheidsrisiko as 'n belangrike faktor kyk wanneer hulle derdeparty-vennote betrek. verwag 60% van hulle doen dit vanjaar.
Hierdie bekommernisse maak verskaffersrisikobestuur 'n belangrike komponent van enige voorsieningsketting-veerkragtigheidstrategie. Doeltreffende omsigtigheidsondersoek beteken om te kontroleer dat verskaffers sekuriteitsmaatreëls in plek het. Maatskappye wat nie omsigtigheidsondersoek verpligtend gemaak het nie, sal goed doen om al hul verskaffers te hersien, ideaal gesproke om te kyk vir akkreditasie met relevante kuberveiligheidsraamwerke of -standaarde. Dié kan bedryfspesifiek wees.
Selfs na dit alles kan aanvalle steeds plaasvind. Om verskaffers wat die toets slaag op 'n voorkeurverskafferlys te hou, sal help om die risiko te verminder dat jou voorsieningsketting deur kompromie ontwrig sal word; dit sal egter nie daardie risiko heeltemal uitwis nie. Daarom is beplanning vir potensiële ontwrigting belangrik.
Moenie net voorkom nie, pas aan
Afhangende van die tipe kompromie, kan 'n handleiding vir die hantering van voorsieningskettingaanvalle suiwer op logistiek en bedrywighede fokus, of dit kan digitale herstel insluit. As 'n kruidenierswareverskaffer onderbreek word omdat hul stelsel gekompromitteer is, word hul digitale probleem hul kliënte se fisiese probleem. Dan is die fokus vir stroomafverskaffers op die voortsetting van die vloei van goedere na hul rakke.
Omgekeerd, as jou netwerkbestuurverskaffer per ongeluk wanware op een van jou bedieners aflaai, word sy digitale probleem jou digitale probleem. Dit vereis 'n ander reaksie.
ISO-standaarde dek voorbereiding vir hierdie scenario's. ISO 22301 spreek byvoorbeeld sakekontinuïteit aan in die lig van voorsieningskettingrisiko's. ISO 27001 bevat beheermaatreëls om inligtingsrisiko te help bestuur wat jou kan beïnvloed deur 'n voorsieningskettingkompromis. ISO 28000 handel oor die verbetering van voorsieningskettingsekuriteit.
Die bestuur van hierdie komplekse, veelsydige voorsieningskettingrisiko beteken om soveel voorkomende kontroles as moontlik in plek te stel om jouself te beskerm deur pligsgetroue verskaffers te kies. Maar dit beteken ook om aan te pas by opkomende probleme eerder as om op hul voorkoming staat te maak.
