Kartering van die risiko's: NCSC se leiding oor voorsieningskettingsekuriteit
INHOUDSOPGAWE:
Kuberaanvalle wat 'n organisasie se voorsieningsketting raak – eerder as die organisasie direk – word al hoe meer algemeen.
As jou verskaffer oortree word, is 'n organisasie se bates in gevaar. In die lig hiervan het aanvallers die taktiek gebruik om aanvalle deur die sagteware-voorsieningsketting te ontplooi. Soos voorheen gerapporteer, 'n vorm van aanval wat die eerste keer bekend geword het met die NotPetya-losprysaanval van 2017 en die SolarWinds-oortreding van 2020, word 'n plaag van korporatiewe sekuriteit.
Die uitbuiting van 'n kwesbaarheid in die MOVEit-lêeroordragsagteware om data te steel en te probeer om betaling van gebruikers van die tegnologie af te dwing, illustreer hoe voorsieningskettingaanvalle as 'n aanvalvektor deur kubermisdadigers sowel as nasiestate gebruik word.
Kommersiële sagtewarepakkette, oopbronkomponente en elemente van wolktegnologie is almal in gevaar van voorsieningskettingaanvalle.
Die doelwitte van voorsieningskettingaanvalle kan wissel van sabotasie tot verspreiding van wanware, losprysware en selfs kuberspioenasie. 'n Ketting is net so sterk soos sy swakste komponent, en probleme kan ontstaan van verskaffers van tegnologie aan 'n organisasie se verskaffers soveel as van verskaffers met wie iemand 'n direkte sakeverhouding het, wat die prentjie verder kompliseer.
Voorsieningskettingafhanklikhede
Die Britse nasionale kuberveiligheidsentrum (NCSC) se 2022-jaaroorsig het voorsieningskettingsekuriteit as 'n belangrike "toekomstige bedreigingsuitdaging" uitgesonder. Die NCSC het dié waarskuwing vroeër vanjaar opgevolg met leiding oor hoe organisasies hul voorsieningskettingrisiko's kan karteer.
Die leiding, gemik op medium tot groot organisasies, verskaf praktiese stappe om kuberveiligheid in voorsieningskettings beter te assesseer. Dit is 'n uitdagende taak, soos die NCSC erken.
"Voorsieningskettings is dikwels groot en kompleks, en om die voorsieningsketting effektief te beveilig, kan moeilik wees omdat kwesbaarhede inherent, bekendgestel of uitgebuit kan word op enige punt daarin," verduidelik die Britse regering se inligtingsversekeringsagentskap.
Die uitdagende taak om voorsieningskettingafhanklikhede te karteer kan hanteer word deur dit in hanteerbare dele op te breek, insluitend:
- Watter produk of diens word verskaf, deur wie, en die belangrikheid van daardie bate vir 'n organisasie
- 'n Inventaris van verskaffers en hul subkontrakteurs, wat wys hoe hulle verbind is
Versekeringskundiges het die NCSC se karteringsadviesleiding verwelkom.
Piers Wilson, direkteur van die Chartered Institute of Information Security (CIISec), het aan ISMS.online gesê: “Die NCSC-leiding beklemtoon die behoefte om verskaffers en hul individuele risiko's op alle vlakke van die ketting te identifiseer en te verstaan. Sommige verskaffers met wie jy dalk data deel, terwyl ander nie aan jou data sal raak terwyl hulle kritieke ondersteuning bied nie. Ongeag, al hierdie verhoog die potensiële aanvaloppervlak.”
Wilson het voortgegaan: "Dan is daar sistemiese risiko's van wolk- of bestuurde diensverskaffers wat nie net jou besigheid kan ondersteun nie, maar ander organisasies waarop jy staatmaak."
Deel van die proses behels die kartering van afhanklikhede, 'n proses wat soortgelyk is aan die neem van 'n bate-inventaris. Wilson het verduidelik: “Die assesserings- en ouditprosesse wat gebruik word om die voorsieningsketting te karteer, moet geskik wees vir die doel, herhaalbaar wees en met besigheidsbehoeftes kan voldoen. Hulle moet ook die nodige inligting verskaf oor risiko's, die status van kuberhigiëne en die breër aanvalsoppervlak. NCSC se leiding is 'n stap om dit te bereik.”
Voorsieningskettingrisiko's het na vore gekom as 'n kritieke uitdaging in ISMS.online se onlangse verslag oor die toestand van inligtingsekuriteit. In 'n opname onder 500 senior inligtingsekuriteitspersoneel, het 30% van die respondente die bestuur van verskaffer- en derdepartyrisiko as 'n "top inligtingsekuriteitsuitdaging" genoem. Meer as die helfte (57%) van die organisasies wat ondervra is, het 'n oortreding ervaar as gevolg van 'n voorsieningsketting-kompromie.
oorlading
CIISec het gewaarsku dat die kartering van die verskaffingsketting waarskynlik groter druk sal plaas op sekuriteitspanne wat reeds hard onderdruk is.
Wilson van CIISec het gesê: “Om NCSC- en ISO-riglyne te volg, sal sekuriteitspanne help om die doeltreffendste en doeltreffendste manier te identifiseer om hul voorsieningskettings te karteer en te beskerm. Maar daarbenewens moet die bedryf aanhou belê in opleiding en vars bloed lok, sodat spanne die vaardighede en ondersteuning kry wat hulle nodig het en nie uitbrand nie.”
Esdie opstel van 'n raamwerk
ISO 27001 is 'n internasionale standaard vir inligtingsekuriteitbestuurstelsels. Die raamwerk bied riglyne vir die handhawing van korporatiewe data se vertroulikheid, integriteit en beskikbaarheid.
Die inligtingsekuriteitstandaard se beste-praktykbenadering help organisasies om hul inligtingsekuriteit te bestuur met aanbevelings wat mense, prosesse en tegnologie dek.
Die NCSC se karteringsadvies haal sy eie aan Cyber Essentials en ISO- en produksertifiserings as instrumente wat help om voorsieningsketting-kartering te karteer.
Luke Dash, ISMS.online se uitvoerende hoof, het gesê dat organisasies met hul verskaffers moet saamwerk in 'n gesamentlike poging om voorsieningskettingrisiko's te karteer, deur ISO 27001 as 'n gids te gebruik. "ISO 27001, bekend vir sy omvattende benadering tot die bestuur van inligtingsekuriteitsrisiko's, komplementeer die NCSC se aanbodkettingkartering-advies perfek deur 'n robuuste raamwerk te verskaf vir organisasies wat hul digitale bates wil beskerm," het Dash verduidelik. “Albei entiteite prioritiseer die kritieke risiko-assesseringstap, en beklemtoon die behoefte vir organisasies om risiko’s wat met hul inligtingsbates en voorsieningskettings verband hou, te identifiseer en te evalueer.
Dash het bygevoeg: "Deur 'n gesamentlike risiko-evalueringsreis te onderneem, kan organisasies potensiële kwesbaarhede volledig verstaan, en hulle bemagtig om geteikende veiligheidsmaatreëls te implementeer."
Deel van die risikobestuursproses behels die meet van verskaffers se sekuriteitsvolwassenheid voordat hierdie data gebruik word om verkrygingsbesluite in te lig. ISMS.online se Dash het verduidelik: “Die NCSC se aanbodketting-kartering-advies beklemtoon die belangrikheid van die beoordeling van verskaffers se sekuriteitspraktyke, insluitend hul begrip van opkomende bedreigings en insidentreaksievermoëns. Die harmonisering van hierdie kriteria stel organisasies in staat om ingeligte besluite te neem en verskaffers te kies met robuuste sekuriteitsposisies wat ooreenstem met hul streng standaarde.”
Kontraktuele ooreenkomste speel ook 'n noodsaaklike rol in die skep van 'n samehangende raamwerk. “ISO 27001 beklemtoon die belangrikheid daarvan om duidelike ooreenkomste daar te stel wat inligtingsekuriteitsverantwoordelikhede en verskafferverwagtinge definieer,” sê ISMS.online se Dash. "In perfekte belyning, moedig die NCSC se aanbodkettingkartering organisasies aan om sekuriteitsvereistes binne kontraktuele reëlings in te sluit, wat verseker dat streng sekuriteitstandaarde deur die hele voorsieningsketting nagekom word."
Deurlopende monitering en hersiening is noodsaaklike komponente in beide die NCSC se aanbodkettingkarteringadvies en ISO 27001, wat toelaat dat die komplimentêre raamwerke in tandem met mekaar toegepas kan word."ISO 27001 se klem op voortdurende verbetering strook naatloos met die NCSC se aanbeveling vir 'n gereelde herbeoordeling van voorsieningskettingrisiko's en periodieke hersiening van verskaffersekuriteitspraktyke," het ISMS.online se Dash afgesluit.
"Deur hierdie gedeelde benadering aan te neem, bly organisasies rats, spreek opkomende bedreigings proaktief aan en verseker die deurlopende sekuriteit van hul voorsieningskettings."
Vereenvoudig jou voorsieningskettingbestuur vandag
Vind uit hoe ons ISMS-oplossing 'n eenvoudige, veilige en volhoubare benadering tot voorsieningskettingbestuur en inligtingbestuur moontlik maak met ISO 27001 en meer as 50 ander raamwerke.
