Пандемия COVID научила нас многому, в том числе тому, что устойчивость цепочки поставок имеет большое значение. Наличие устойчивой цепочки поставок в деловом смысле может быть разницей между процветанием в динамичных рыночных условиях и критическими сбоями в бизнесе, в том числе вызванными кибератаками. Эти сбои могут не только повлиять на ваш доход. но они также могут повлиять на бренд вашей организации и репутацию на рынке.
Современная бизнес-экосистема представляет собой все более сложную сеть отношений и обмена товарами и услугами. Каждый по сути является чьим-то продавцом. Злоумышленники не упускают из виду этот момент, поскольку мы наблюдаем рост числа атак на цепочки поставок, особенно в цифровой сфере.
Злоумышленники осознали, что они могут нацелиться на одного поставщика услуг, поставщика или программный компонент и воздействовать на экспоненциальное число жертв. Этот тип подхода гораздо более эффективен для них с точки зрения охвата целей и времени, необходимого для оказания масштабного воздействия. Это увеличение числа атак третьих сторон и цепочек поставок в сочетании со сложным ландшафтом отношений в цепочках поставок заставляет организации бороться за внедрение гибкого подхода к своим усилиям по управлению рисками третьих сторон.
Внедрение устойчивой цепочки поставок требует дисциплины и последовательного подхода к управлению рисками цепочки поставок (SCRM). Выполните следующие три шага, чтобы обеспечить устойчивую цепочку поставок для вашей организации, которая включает в себя понимание не только ваших сторонних, но и четвертых поставщиков.
1. Проверка планов поставщиков по обеспечению устойчивости
Многие из пунктов в вашем контрольном списке «необходимо быть устойчивым» предоставляются поставщиками. Знаете ли вы все термины, и соответствуют ли они ожиданиям с обеих сторон? Как указано в книге Грега «Кибербезопасность и сторонние риски: поиск сторонних угроз», каждый является чьим-то поставщиком (сторонним, четвертым и n-м поставщиком), и полагаться на план обеспечения устойчивости вашего поставщика без проверки — это опасно. обязательно аукнется в самый неподходящий момент. Кроме того, согласно статистике ФБР, количество сторонних атак за последние два года увеличилось более чем на 800%. Эти элементы могут восполнить пробел в способности многих организаций быть устойчивыми; этот уровень планирования может потребовать значительных усилий по мере роста сложности и размера организации.
Системно важные поставщики, на которых ваша организация полагается при доставке ваших продуктов/услуг клиентам, заслуживают внимания из-за устойчивости. После определения и инвентаризации спросите этих поставщиков, как они осуществляют планирование и тестирование отказоустойчивости. Эта проверка должна выполняться с физической валидацией, а не в виде отдаленных вопросов и ответов.
Хотя заманчиво довериться поставщику и избежать неприятностей, сейчас не время отдавать свою устойчивость на аутсорсинг с ответом «по телефону». Очень важно определить этих критически важных поставщиков и включить их в свои собственные упражнения по тестированию и проверке устойчивости. Будь то командно-штабные учения или реальное отказоустойчивое тестирование, сотрудничество с этими поставщиками дает обеим организациям уверенность в успехе в случае реального возникновения проблемы.
Не останавливайтесь на этих третьих лицах. В случае с системно важными поставщиками необходимо дополнительно исследовать их третьих лиц (ваших четвертых лиц). Большинство компаний используют другую сторону, чтобы помочь или улучшить свои собственные продукты и услуги для конечных потребителей. Если вы не проверите, как третья сторона проводит комплексную проверку устойчивости с вашими четвертыми сторонами, вы останетесь столь же уязвимыми. Спросите их, какие четвертые стороны они используют для предоставления продуктов вашей организации, и узнайте, как они получают гарантии устойчивости этих четвертых сторон.
2. Уменьшить риск концентрации
По мере завершения инвентаризации и проверки третьих сторон, вероятно, станет очевидным еще один риск для устойчивости: риск концентрации. Это когда многие услуги выполняются в одном месте или у одного поставщика. В современном облачном мире это часто концентрация в поставщике облачных услуг и географическом местоположении.
Например, многие организации на восточном побережье США, использующие AWS, увидят большую концентрацию своих развертываний на востоке США. Этот тип риска концентрации является новым и со временем становится все более заметным по мере усиления перехода к облаку.
Решения могут быть разнообразными и позволяют организации распределять риск. Во-первых, убедитесь, что резервный регион для поставщика облачных услуг, выбранного поставщиком, был протестирован для этого упражнения. Физически подтвердите, что они проверяют, может ли их продукт переключаться на заданный регион, и посмотрите, сколько времени им потребуется для выполнения этой работы. Слишком часто организации рекламируют «немедленный» отказоустойчивость своих продуктов, но на практике это может привести к беспорядку и потере данных или функциональности.
Другой подход, когда вы хотите привлечь новых третьих лиц (или обновить существующие): ищите способ развертывания в другом регионе, чем тот, в котором в настоящее время существует риск концентрации.
Число киберинцидентов увеличилось с начала пандемии COVID-19. Запомнить. каждый является чьим-то поставщиком, а это означает, что увеличение числа инцидентов приводит к прямому увеличению числа сторонних инцидентов у всех. Стороннее управление инцидентами предполагает, что нарушение уже произошло или произойдет (с поставщиками). Каковы ваши планы по обеспечению устойчивости в отношении этой деятельности?
Инциденты первой стороны, когда ваша организация подвергается непосредственному нападению, обычно хорошо задокументированы, и для выявления, сдерживания и смягчения последствий назначаются группы. Однако инцидент с вашими третьими сторонами часто влияет на вашу возможность доступа к данным клиентов или подключения к системно важному поставщику. Когда обсуждаются контракты, убедитесь, что вы получаете условия для уведомления об инциденте (не более 24 часов с момента инцидента) и требуете, чтобы они обеспечивали возможность коммуникации и прозрачность того, что произошло.
3. План на случай недоступности третьих лиц
Наконец, проверьте, что произойдет, если один или несколько из ваших системно важных поставщиков станут недоступными в течение длительного периода времени. Планирование устойчивости в случае недоступности часто упускается из виду как «слишком сложное» или «надуманное» для планирования или прогнозирования. Тем не менее, такие события более вероятны, учитывая агрессивный характер некоторых наших киберпреступников, в частности акторов продвинутых постоянных угроз (APT). Мы видели это в Colonial Pipeline и других, так что это не надумано.
Это упражнение начинается с вопросов: если у поставщика есть подключение к вашей сети, как повлияет разрыв этого подключения на снижение риска передачи инцидента в вашу сеть? Каковы ваши ручные варианты обработки работы? Можете ли вы обрабатывать или выполнять работу с другим поставщиком, возможно, с меньшей производительностью, но, тем не менее, с обработкой.
Устойчивость определяется как «способность быстро восстанавливаться после трудностей», и это особенно важно для организаций, чтобы проверить эту способность своих поставщиков, подтвердить, что ваши системно критические устройства способны к устойчивости, которую вы ожидаете, и иметь программу управления инцидентами, которая будет успешно обрабатывать сторонние инциденты.
© 2022 IDG Communications, Inc.
https://cyberxhack.org/