Navigeer deur die kompleksiteite van voorsieningskettinginligtingsekuriteit: Insigte van ISMS. aanlyn se staat van inligtingsekuriteitsverslag

Aan die einde van 2022 is ons gevra om die lys top kuberneigings wat ons verwag het om die nuus in 2023 te oorheers, en ons het die voorsieningsketting gemerk. En, seun, was ons reg om! Die afgelope drie maande het voorsieningskettingsekuriteit onder die soeklig geplaas en om al die verkeerde redes.

In Maart het IT-uitkontrakteringsreus Capita het 'n losprys-oortreding opgedoen, wat baie regerings- en privaatsektorkliënte beïnvloed, insluitend Royal Mail, Axa en USS, een van die VK se grootste pensioenfondse. Terwyl die Britse adjunkpremier, Oliver Dowden, het gewaarsku teen die risiko vir kritieke nasionale infrastruktuurverskaffingskettings en het 'n formele waarskuwing aan besighede uitgereik oor inkomende aanvalle van onvoorspelbare akteurs

Meer onlangs is grootname handelsmerke, insluitend BA, Boots en die BBC, uitgevang deur 'n persoonlike en finansiële data-oortreding wat personeel en kliënte raak. Die skuldige? 'n Fout in 'n lêeroordraginstrument genaamd MOVEit, wat hul betaalstaatverskaffer, Zellis, gebruik het.

Die uitdagings wat voorsieningskettingsekuriteit in die gesig staar

So, hoekom lyk voorsieningskettingsekuriteit so moeilik vir organisasies om op die top te kom? Een van die kritieke uitdagings is die verhoogde kompleksiteit en interafhanklikheid van globale voorsieningskettings. Organisasies het dikwels beperkte sigbaarheid en beheer oor hul uitgebreide netwerk, wat dit uitdagend maak om die sekuriteit van data en stelsels buite hul onmiddellike bereik te verseker.

Boonop staar verskaffingskettinginligtingsekuriteit kwesbaarhede in die gesig, soos onvoldoende sekuriteitspraktyke deur verskaffers, swak verifikasiemeganismes, verouderde sagteware en selfs moontlike voorsieningsketting-onderbrekings wat deur natuurrampe of geopolitieke gebeure veroorsaak word.

Die impak van 'n voorsieningskettingbreuk kan ernstig en verreikend wees. Nie net kan dit lei tot finansiële verliese, reputasieskade en regsgevolge nie, maar dit kan ook bedrywighede ontwrig en die vertroue van kliënte en belanghebbendes in gedrang bring. Die onderling gekoppelde aard van voorsieningskettings beteken dat 'n oortreding in een organisasie kaskade-effekte op verskeie entiteite binne die ketting kan hê, wat die potensiële skade kan versterk.

Wat die stand van inligtingsekuriteitsverslag ons vertel oor voorsieningskettingsekuriteit

Ten spyte van die goed gedokumenteerde risiko's en groeiende reeks nuus, verloor baie maatskappye steeds hul voorsieningskettings uit die oog. Trouens, volgens ons Stand van inligtingsekuriteitsverslag 2023, net 30% van organisasies het geglo hulle sukkel met die bestuur van hul voorsieningsketting, maar meer as 57% het erken dat hulle ten minste een kubervoorval ervaar het as gevolg van voorsieningsketting-kompromie in die afgelope 12 maande, met baie wat erken het aan meer as een voorval.

Waar kom hierdie ontkoppeling vandaan? Die NCSC het onlangs hul eie navorsing gedoen en gevind dat "net meer as een uit elke tien besighede die risiko's hersien wat deur hul onmiddellike verskaffers inhou (13%), en die verhouding vir die breër voorsieningsketting is die helfte van daardie syfer (7%)."

Dus, terwyl baie organisasies verstaan ​​dat hul voorsieningsketting kommerwekkend moet wees, bly daar 'n:

• gebrek aan belegging om teen hierdie kuberrisiko te beskerm
• beperkte sigbaarheid in voorsieningskettings
• onvoldoende gereedskap en kundigheid om verskaffers se kuberveiligheid te evalueer

gebrek aan duidelikheid oor wat jy jou verskaffers moet vra om te doen

Hierdie kwessies laat voorsieningskettings blootgestel en loop die risiko van uitbuiting deur kubermisdadigers.

Regulerende uitdagings en voorsieningskettingsekuriteit

In die afgelope 12 maande het byna twee derdes (60%) van Britse ondernemings 'n boete ontvang weens data-oortredings of regulatoriese oortredings. Die gemiddelde totaal wat in boetes betaal is, was byna £250,000 XNUMX.

Die mees algemene boetes vir data-oortredings het gewissel van £50,000 100,000 tot £21 100,000 (250,000%), gevolg deur £17.5 21 tot £250,000 500,000 (1,000,000%). Byna XNUMX% van die respondente het boetes van meer as £XNUMX ontvang, met net minder as die helfte wat erken het dat hulle 'n boete ontvang het wat wissel van £XNUMX tot 'n verbysterende £XNUMX.

Van hierdie boetes was 'n kommerwekkende 42% óf direk óf indirek te wyte aan 'n data-oortreding of voorval wat 'n voorsieningsketting- of derdepartyverskaffer-kompromieaspek ingesluit het. Beklemtoon net hoe integraal verskafferbestuur is vir 'n organisasie se inligtingsekuriteit en regulatoriese voldoening.

Sleuteltendense wat voorsieningskettingsekuriteit beïnvloed

Een van die belangrikste wegneemetes uit die Staat van Inligtingsveiligheidsverslag is die groeiende gesofistikeerdheid van kuberaanvalle wat voorsieningskettings teiken. Kubermisdadigers gebruik gevorderde aanhoudende bedreigings (APT's), wat sluipende en hoogs geteikende aanvalle is wat daarop gemik is om die integriteit van die voorsieningsketting te kompromitteer. Hierdie aanvalle kan vir lang tydperke onopgemerk bly, wat bedreigingsakteurs toelaat om ongemagtigde toegang tot sensitiewe data te verkry of selfs kritieke stelsels te manipuleer of beheer oor te neem.

As hulle eers in die stelsel is, sal aanvallers dikwels losprys eis vir toegang tot hierdie kritieke stelsels of dreig om sensitiewe data vry te stel tensy dit betaal word. Byna 25% van organisasies in ons opname is in die afgelope 12 maande tot losprys gehou, met 'n verdere 25% wat ook in dieselfde tydperk netwerkinbraak ervaar het.

Boonop werp die verslag lig op die toenemende voorkoms van kompromieaanvalle in die voorsieningsketting, met 19% van die respondente wat sê dat hulle die afgelope 12 maande op hierdie manier geraak is. In hierdie scenario's ontgin aanvallers kwesbaarhede in een of meer voorsieningskettingkomponente om die hele ekosisteem te infiltreer.

Deur byvoorbeeld 'n verskaffer se netwerk of stelsels te kompromitteer, kan aanvallers ongemagtigde toegang tot stroomaf-vennote verkry, wat lei tot 'n rimpeleffek van sekuriteitsbreuke. Dit beklemtoon die onderlinge verbondenheid en interafhanklikheid van voorsieningskettingsekuriteit, wat dit noodsaaklik maak vir organisasies om risiko's nie net binne hul stelsels te assesseer en te versag nie, maar ook oor hul hele voorsieningskettingnetwerk.

Nog 'n kommerwekkende neiging wat in die verslag geïdentifiseer is, is die toename in aanbodketting-uitvissing-aanvalle. Kubermisdadigers gebruik sosiale ingenieurstegnieke om individue binne die voorsieningsketting te mislei, hulle te mislei om sensitiewe inligting bekend te maak of onopsetlik kwaadwillige sagteware af te laai.

Hierdie phishing-aanvalle kan oortuigend wees, en dikwels naboots betroubare verskaffers, verskaffers of interne belanghebbendes. Dit is dus miskien nie verbasend nie dat 28% van die respondente gesê het dat hulle oortree is as gevolg van 'n uitvissing-aanval wat hul werknemers in die afgelope 12 maande geteiken het. Organisasies moet hul werknemers opvoed oor hierdie bedreigings en robuuste e-possekuriteitmaatreëls implementeer om hierdie toenemend gesofistikeerde uitvissingpogings te bekamp.

Algemene voorsieningskettingkwesbaarhede en aanvalsvektore

ISMS.online se Staat van Inligtingssekuriteitsverslag onthul ook verskeie algemene kwesbaarhede en aanvalsvektore wat bedreigingakteurs uitbuit om verskaffersekuriteit in gevaar te stel.

Een algemene kwesbaarheid is swak verskafferkontroles. Baie verskaffers het dalk nie robuuste sekuriteitsmaatreëls nie, wat hulle 'n maklike teiken vir kuberaanvalle maak. Hierdie kwesbaarhede kan verouderde sagteware, onvoldoende pleisterbestuur of lakse toegangskontroles insluit. Aanvallers benut hierdie swakhede om ongemagtigde toegang tot sensitiewe inligting te verkry of kwaadwillige kode in die voorsieningsketting-ekosisteem in te voer.

Nog 'n kwesbaarheid spruit uit die gebrek aan omsigtigheid tydens die aanboord van verskaffers. Organisasies mis dikwels die belangrikheid daarvan om hul verskaffers se sekuriteitspraktyke deeglik te ondersoek voordat hulle in sakeverhoudings betrokke raak. Hierdie toesig skep 'n potensiële gaping in die voorsieningsketting se verdediging, wat aanvallers in staat stel om die swakste skakel te ontgin. Byvoorbeeld, 'n verskaffer met onvoldoende sekuriteitsmaatreëls kan die hele voorsieningsketting per ongeluk blootstel aan beduidende risiko's.

Onvoldoende sekuriteitsbewustheid en opleiding regoor die voorsieningsketting is nog 'n kwesbaarheid wat aanvallers uitbuit. Werknemers op verskeie vlakke binne die voorsieningsketting het moontlik nie voldoende kennis oor kuberveiligheid se beste praktyke of die potensiële bedreigings wat hulle in die gesig staar nie. Hierdie kennisgaping laat hulle vatbaar vir sosiale ingenieursaanvalle, uitvissingpogings of die onopsetlike inbring van wanware in die stelsel.

Inderdaad, minder as die helfte van die organisasies wat ondervra is, het oor die afgelope 12 maande gereelde inligtingsekuriteit- of databewustheidsopleiding gelewer (47%), wat daarop dui dat 53% van organisasies nog glad nie gereelde personeelbewustheidsopleiding moes lewer nie. Organisasies moet sekuriteitsbewustheidsopleiding prioritiseer en 'n kultuur van waaksaamheid oor die hele voorsieningsketting vestig.

Die verslag beklemtoon ook die risiko's verbonde aan derdeparty sagteware en hardeware komponente. Die integrasie van hierdie komponente in die voorsieningsketting lei tot 'n vlak van afhanklikheid van eksterne entiteite, wat die aanvaloppervlak en potensiële kwesbaarhede verhoog. Kwaadwillige akteurs kan hierdie komponente kompromitteer, wat lei tot voorsieningsketting-onderbrekings, data-oortredings of die bekendstelling van gekompromitteerde sagteware of hardeware.

Verder hou binnebedreigings binne die voorsieningsketting 'n beduidende risiko in. Insider-bedreigings kan voorkom wanneer individue met gemagtigde toegang tot die voorsieningsketting-ekosisteem hul voorregte misbruik of bewustelik by kwaadwillige aktiwiteite betrokke raak. Dit kan 'n ontevrede werknemer, 'n kontrakteur met ongemagtigde toegang of 'n gekompromitteerde insider wees. Meer as 20% van diegene in ons opname het in die afgelope 12 maande 'n voorval ervaar as gevolg van 'n kompromie van binnebedreiging. Sulke dreigemente kan ernstige gevolge hê, insluitend data-oortredings, diefstal van intellektuele eiendom of sabotasie.

Om hierdie kwesbaarhede te verstaan, is van kardinale belang vir organisasies om geteikende risikoversagtingstrategieë te ontwikkel. Organisasies kan hul verskaffingskettinginligtingsekuriteit aansienlik verbeter deur swak verskafferkontroles te identifiseer en aan te spreek, streng omsigtigheidsprosesse te implementeer, sekuriteitsbewustheid en opleidingsprogramme te bevorder, en derdeparty-sagteware en hardeware-komponente noukeurig te bestuur.

Navigeer deur die kompleksiteite van voorsieningskettinginligtingsekuriteit

Die toenemende afhanklikheid van derdeparty-verhoudings en die ontwikkelende bedreigingslandskap noodsaak 'n omvattende benadering om risiko's te versag en sensitiewe data te beskerm. Kom ons ondersoek 'n paar sleutelareas om in ag te neem wanneer ons deur die ingewikkeldhede van voorsieningskettinginligtingsekuriteit opgevolg word.

Risiko-evaluering en versagtingstrategieë:

'n Deeglike risiko-evaluering is die grondslag van effektiewe voorsieningskettinginligtingsekuriteit. Dit behels die identifisering en evaluering van potensiële kwesbaarhede en bedreigings binne die voorsieningsketting-ekosisteem. Organisasies kan risiko's prioritiseer, hulpbronne effektief toewys en geteikende versagtingstrategieë implementeer deur gereelde assesserings uit te voer. Hierdie strategieë kan data-enkripsie, toegangskontroles, gereelde sekuriteitsoudits en deurlopende monitering insluit om kwesbaarhede stiptelik op te spoor en aan te spreek.

Vestiging van 'n robuuste voorsieningskettingsekuriteitsraamwerk:

Organisasies moet 'n robuuste sekuriteitsraamwerk daarstel om voorsieningskettinginligtingsekuriteit effektief te bestuur. Hierdie raamwerk moet duidelike beleide, prosedures en riglyne uiteensit om konsekwente sekuriteitspraktyke regdeur die voorsieningsketting te verseker. Dit moet sekuriteitsvereistes vir verskaffers, kontrakteurs en ander derdeparty-vennote en beleide vir veilige datadeling en -oordrag insluit. Gereelde assesserings en oudits kan die raamwerk se doeltreffendheid bekragtig en deurlopende verbetering aandryf.

Samewerkende pogings en vennootskappe:

Organisasies moet oop kommunikasie en samewerking met verskaffers, verskaffers en ander belanghebbendes aanmoedig om sekuriteitspraktyke in lyn te bring, bedreigingsintelligensie te deel en sekuriteitsposisie te versterk. Samewerkende inisiatiewe kan platforms vir die deel van inligting, gesamentlike sekuriteitsoudits en gereelde sekuriteitsopleiding en -bewusmakingsprogramme insluit.

Derdeparty-risikobestuur:

Dit is noodsaaklik om robuuste derdeparty-risikobestuursprosesse daar te stel. Dit behels die uitvoer van omsigtigheidsondersoeke wanneer vennote gekies word, hul sekuriteitspraktyke beoordeel word en kontraktuele ooreenkomste daargestel word wat sekuriteitsverwagtinge en -verantwoordelikhede uiteensit. Gereelde monitering en oudits van derdeparty-sekuriteitskontroles moet uitgevoer word om deurlopende nakoming te verseker.

Voorvalreaksie en herstelplanne:

Ten spyte van proaktiewe veiligheidsmaatreëls kan voorvalle steeds voorkom. Dit is van kardinale belang om goed gedefinieerde insidentreaksie en herstelplanne in plek te hê. Hierdie planne moet die stappe uiteensit wat geneem moet word in die geval van 'n sekuriteitskending, insluitend insidentopsporing, inperking, ondersoek en herstel. Organisasies moet gereelde insidentreaksieoefeninge en simulasies uitvoer om hul planne se doeltreffendheid te toets en verbeteringsareas te identifiseer.

’n Proaktiewe en omvattende voorsieningskettinginligtingsekuriteitsbenadering is deurslaggewend vir langtermynsukses en besigheidskontinuïteit in ’n voortdurend ontwikkelende bedreigingslandskap.

Hoe ISO 27001 kan help om effektiewe voorsieningskettingbestuur te bereik

ISO 27001 is 'n internasionaal erkende standaard vir inligtingbestuur, maar dit gaan regtig oor risiko bestuur. Werk binne die ISO 27001-raamwerk sal gedrag en sekuriteitsvoordele bevorder vir enige onderneming wat sy kuberveerkragtigheid wil verbeter en hul voorsieningskettingsekuriteit doeltreffend wil bestuur.

ISO 27001 raai besighede aan om astraightforward proses in plek vir aanboord en bestuur van verskaffers. Fokus veral op die volgende:

1. Vestiging van 'n formele beleid vir verskaffers, wat jou vereistes uiteensit vir die vermindering van risiko verbonde aan derde partye
2. Ooreenkom en dokumentasie van hierdie vereistes met elke verskaffer
3. Die nagaan van verskaffers het prosesse in plek om te voldoen aan toepaslike vlakke van basislynsekuriteit (insluitend hul eie voorsieningskettings). Dit kan gedoen word deur middel van gefokusde oudits, vrae of tjeks vir akkreditasie met ISO 27001
4. Die handhawing van 'n gereeld bygewerkte lys van goedgekeurde verskaffers
5. Evalueer gereeld of verskaffers aan jou sekuriteitsvereistes voldoen.
6. Verseker dat enige tegnologie- of prosesveranderinge dadelik gemerk word en dat jy die impak daarvan op verskafferrisiko verstaan.

Dit lyk dalk na noodsaaklike, gesonde verstand-advies, maar dit kan organisasies tyd, geld, reputasieskade en frustrasie bespaar as dit korrek geïmplementeer word. Daarbenewens kan die bereiking van voldoening aan die ISO 27001-raamwerk 'n beduidende besigheidsvoordeel bied deur jou gesertifiseerde sekuriteitsbewyse aan huidige en toekomstige kliënte te demonstreer.

Namate voorsieningskettings in grootte en kompleksiteit uitbrei, neem die gepaardgaande kuberrisiko's ook toe. Organisasies moet beslissende stappe neem om hul inligting en bates te beskerm. Deur gebruik te maak van hulpbronne soos voorsieningsketting kartering leiding aangebied deur die NCSC en die implementering van 'n ISMS gebaseer op ISO 27001, kan organisasies hul voorsieningskettingrisikobestuurspraktyke versterk en hul bedrywighede teen ontwikkelende kuberbedreigings beskerm. Dit is nou die tyd om proaktiewe maatreëls te prioritiseer om hierdie uitdagings reguit aan te spreek.

U kan die volledige verslag oor die staat van inligtingsekuriteit hier lees: https://www.isms.online/state-of-infosec-23/

Lees die verslag