Wat die Capita-oortreding ons vertel oor die bestuur van voorsieningskettingrisiko
INHOUDSOPGAWE:
Toe die IT-uitkontrakteringsreus Capita in Maart 'n skending van losprysware ondervind het, het hy sy bes probeer om die media-narratief te beheer. Maar voorsieningskettingvoorvalle soos hierdie het 'n gewoonte om weg te hardloop van selfs die bes gedrewe PR-spanne. Na 'n paar weke van drup-drup nuus van Capita, het die firma se ergste nagmerrie gekom: 'n stortvloed van oortredingkennisgewingsverslae van korporatiewe kliënte. Oor hierdie en 'n tweede voorval wat wolk-wankonfigurasie behels, het die slagoffertelling nou tot minstens 90 gestyg.
Daar is baie wegneemetes vir sekuriteit- en nakomingspanne. Maar hulle kan tot een idee gekook word. Jy kan die beste kuberrisiko-versagtingsprogram ter wêreld in plek hê, maar jou organisasie kan steeds krities aan voorvalle blootgestel word as dit nie die voorsieningsketting dek nie.
Volgens een skatting verlede jaar het 98% van globale organisasies in 2021 'n verskaffingskettingbreuk gely. Dit is tyd om sigbaarheid en beheer van binne na buite die onderneming uit te brei.
Wat het met Capita geword?
Capita is tjoepstil oor die "voorval" wat volgens hom op 22 Maart plaasgevind het, wat onthul het net tot op datum dat "sommige data uit minder as 0.1% van sy bedienerboedel geëfiltreer is". In werklikheid, verslae stel voor dat die losprys-groep BlackBasta agter die oortreding was, met slagoffers se persoonlike en bankrekeningbesonderhede wat reeds op die donker web verkoop is. Dit het groot implikasies vir die firma se talle korporatiewe kliënte en uiteindelik hul kliënte.
Capita het kontrakte ter waarde van miljarde ponde met regerings- en privaatsektorkliënte, insluitend Royal Mail, Axa en USS, een van die VK se grootste pensioenfondse. Reguleerder Die Inligtingskommissaris se kantoor (ICO) is oorval met oortredingkennisgewings van hierdie kliënte. Terselfdertyd het die Pensioenreguleerder (TPR) het glo geskryf aan meer as 300 fondse om hulle te vra om te kyk of hulle ook geraak is.
Capita is nie die eerste nie en sal ook nie die laaste bron wees nie verskaffingsketting kuber risiko. Meer onlangs nog, groot-naam handelsmerke, insluitend BA, Boots en die BBC, is uitgevang deur 'n skending van persoonlike en finansiële data wat personeel en potensiële kliënte raak. Die skuldige? 'n Fout in 'n lêeroordraginstrument genaamd MOVEit, wat hul betaalstaatverskaffer, Zellis, gebruik het. Daar word geglo dat duisende firmas, direkte en indirekte sagtewaregebruikers, moontlik geraak is.
Waarom voorsieningskettingrisiko moeilik is om te bestuur
Aangesien die impak van beide oortredings steeds nuus oor die hele wêreld maak, is dit nou die tyd om voorsieningskettingrisiko beter te verstaan. Jamie Akhtar, uitvoerende hoof van CyberSmart, voer aan dat die Capita-voorval een van die beste voorbeelde is van die veiligheidsrisiko's wat voorsieningskettings inhou.
“Dit dien as 'n waarskuwing vir die Britse sakegemeenskap. As jy deel van 'n voorsieningsketting is, sal kubermisdadigers jou vroeër of later probeer teiken— die geleentheid om ontwrigting te veroorsaak of belangrike data te steel, is te goed om te laat verbygaan,” sê hy. "So, ons doen 'n beroep op besighede van alle groottes om na te dink oor hul voorsieningsketting en die risiko's daarin."
Simon Newman, uitvoerende hoof van The Kuberveerkragtigheid Centre for London, voeg by dat aanvallers toenemend groot en komplekse voorsieningskettings teiken omdat interne sekuriteitspogings verbeter het.
“Die vermoë om die sekuriteit van 'n verskaffer in gevaar te stel, bied nie net 'n potensiële agterdeur na groter organisasies nie, maar aangesien die derde party waarskynlik ook produkte of dienste aan ander maatskappye sal verskaf, beteken dit dat die omvang en omvang van die aanval is baie groter,” waarsku hy.
So hoekom is voorsieningskettingrisiko so moeilik om te bestuur?
’n Verskaffingskettingaanval kan baie vorme aanneem. Dit kan wees dat korporatiewe data bestuur word deur 'n verskaffer wat later oortree word (soos Capita of Blackbaud). Dit kan wees dat 'n verskaffer of vennoot met aanmeldings by jou netwerk gekompromitteer word, wat hackers toegang gee tot jou organisasie se IT-bates en data. Dit het in die massiewe gebeur 2013 Teikenoortreding. Of dit kan selfs wees dat verskeie stroomafgebruikers van gekompromitteerde sagteware besmet is nadat kuberkrakers wanware inplant of foute daarin uitbuit, soos met MOVEit en Accellion.
Soos digitale transformasie vinnig voortduur, groei die kuberaanvaloppervlak van verskaffers steeds. Hul IT-omgewings verander voortdurend, wat noukeurige en, ideaal gesproke, voortdurende ondersoek vereis. Maar dit gebeur nie. Volgens die Nasionale Cyber Security Centre (NCSC), sommige van die hoofuitdagings met voorsieningskettingrisikobestuur lê daarin om die basiese beginsels reg te kry, soos:
- Begrip van die risiko's verbonde aan armes voorsieningskettingsekuriteit
- Belê meer in risikovermindering
- Verbetering van sigbaarheid in voorsieningskettings
- Kry die regte gereedskap en kundigheid om verskaffers se kuberveiligheid te evalueer
- Verstaan watter vrae om aan verskaffers te vra
Ongelukkig is die huidige pogings nie voldoende nie. Volgens 'n regeringsverslag, hersien slegs ongeveer een uit elke 10 (13%) besighede die risiko's wat verskaffers inhou. Soos hierbo genoem, sluit struikelblokke wat deur die verslag aangehaal word geld, vaardighede, prioritisering en die verkryging van die korrekte inligting van verskaffers in. Maar ook belangrik is om te weet watter verskaffers om na te gaan en watter kontrole om uit te voer. Dit is waar internasionale standaarde soos ISO 27001 kan help.
Hoe ISO 27001 kan help
Volgens IBM, 20% van data-oortredingsvoorvalle spruit uit verskaffers, teen 'n gemiddelde koste van $4.46m per oortreding, meer as die gemiddelde oor alle oortredingstipes ($4.35m). Dit alleen behoort genoeg te wees om gedagtes te fokus op die taak van voorsieningsketting te bestuur risiko meer effektief. Maar hoe? Eerstens, oorweeg die NCSC se voorsieningskettingkartering (SCM) leiding, wat jou sal help om te verstaan wie jou verskaffers is, wat hulle verskaf en hoe hulle dit verskaf. Dit behoort meer doeltreffende risiko-gebaseerde besluitneming moontlik te maak.
Die evaluering en bestuur van verskaffersekuriteit is ook 'n kritieke komponent van 'n inligtingsekuriteitbestuurstelsel (ISMS). ISO 27001 kan jou vertel hoe om daar te kom deur stappe soos:
- Vestiging van 'n formele beleid vir verskaffers, wat jou vereistes uiteensit vir die vermindering van risiko verbonde aan derde partye
- Ooreenkom en dokumentasie van hierdie vereistes met elke verskaffer
- Die nagaan van verskaffers het prosesse in plek om te voldoen aan toepaslike vlakke van basislynsekuriteit (insluitend hul eie voorsieningskettings). Dit kan gedoen word deur middel van gefokusde oudits, vrae of tjeks vir akkreditasie met ISO 27001
- Die handhawing van 'n gereeld bygewerkte lys van goedgekeurde verskaffers
- Evalueer gereeld of verskaffers aan jou sekuriteitsvereistes voldoen.
- Verseker dat enige tegnologie- of prosesveranderinge dadelik gemerk word en dat jy die impak daarvan op verskafferrisiko verstaan.
Namate voorsieningskettings aanhou groei in grootte en kompleksiteit, neem kuberrisiko ook toe. Dit is tyd om aksie te neem.
Vereenvoudig jou voorsieningskettingbestuur vandag
Vind uit hoe ons ISMS-oplossing 'n eenvoudige, veilige en volhoubare benadering tot voorsieningskettingbestuur en inligtingbestuur moontlik maak met ISO 27001 en meer as 50 ander raamwerke.
