Защитата на веригата за доставки трябва да е топ приоритет за бизнесите през 2025

Все повече национални държави търсят нови пътища за придобиване на геополитическо предимство. Тази тенденция ще продължи и през следващата година. Затова защитата на веригите за доставки трябва да бъде топ приоритет на бизнесите и общността за киберсигурност през 2025.

Докладът на Verizon „2024 Data Breach Investigations Report“ установява, че използването на Zero day експлойти за кибератаки е нараснало със 180% на годишна база. Сред тях 15% са били свързани с доставчици от трета страна. А неразкритата уязвимост, таргетирана в неподходящ момент, може да компрометира из основи бизнеса ви.

Сложността, мащаба и интеграцията на съвременните екосистеми на веригите за доставки превръща тяхната защита в изключително сложна задача. Не съществува рецепта за пълното премахване на заплахите. Целенасоченият фокус върху принципите за ефективно управление на риска обаче е критично важна основа. Той изисква оптимален баланс между стриктно валидиране на доставчиците, целенасочено споделяне на данните и добра подготовка.

Строго валидиране на доставчиците

Независимо дали става въпрос за кибервойна или ransomware, съвременните атаки по веригата за доставки са изключително сложни. Затова валидирането на доставчиците е от изключително значение. То трябва да премине отвъд оценките за нивата на киберсигурност на техните системи. Всеобхватните процеси на валидиране дават приоритет на регулаторното съответствие, готовността за реакция при инциденти и наличието на принципа Secure by Design.

Осигуряването на съответствие с развиващите се индустриални стандарти трябва да бъде основен двигател на всяка стратегия за валидиране на доставчици. За целта трябва да си отговорите на въпросите:

• Отговаря ли вашият доставчик на разпоредбите DORA и CRA на Европейския съюз?
• Работи ли по въвеждането на защити срещу квантово базирани атаки?
• Притежават ли системите му криптографска гъвкавост, за да интегрират новите алгоритми на Националния институт за стандарти и технологии на САЩ (NIST) за постквантова криптография (PQC) до 2025 г.?

Провеждайте годишни одити за сигурност на място при доставчиците си. Те трябва да оценяват всичко – от мерките за физическа сигурност и софтуерните инструменти до IT процесите и програмите за обучение на служителите. Освен това изисквайте от партньорите си да предоставят регулярни доклади за penetration тестове и оценка на уязвимостите.

Контрол на достъпа до данни

Контролираният достъп до вашите данни е основно условие за киберсигурност, когато става дума за веригата за доставки. Организациите трябва да възприемат целенасочени подходи за споделяне на информация. Те трябва внимателно да обмислят каква част от нея е наистина необходима за успешното партньорство с трета страна. Въвеждането на Zero Trust подход ще ви помогне да намалите значително повърхността за атаки във веригата за доставки. Това, от своя страна, опростява управлението на риска от трети страни.

Важна стъпка в този процес е прилагането на строг контрол на достъпа, който ограничава пълномощията само до основните данни и системи.

Политиките за съхранение също играят решаваща роля тук. Автоматизирането на процесите за постепенно премахване на остарели или ненужни данни гарантира, че дори и да се случи нарушение, щетите са ограничени и поверителността е запазена.

Криптирането на данните, достъпни за трети страни, на свой ред добавя допълнително ниво на защита срещу неоткрити нарушения в по-широката екосистема на веригата за доставки.

Добра подготовка

Тъй като атаките по веригите за доставки стават все повече, организациите трябва да приемат, че нарушение не само е възможно, но и вероятно. Подобна промяна на гледната точка ще ви помогне, за да ограничите риска.

Мерките за подготовка трябва да започнат с разработването и редовното актуализиране на гъвкави процеси за реагиране при инциденти. Те трябва да бъдат специално насочени към рисковете, свързани с трети страни и външни доставчици.

За да бъдат ефективни, тези процеси трябва да бъдат добре документирани и често тествани чрез реалистични симулации. Подобни тренировки помагат да се идентифицират потенциалните пропуски в стратегията ви. Те гарантират, че всички членове на екипа разбират своите роли и отговорности по време на криза.

Поддържането на актуален списък с контакти за всички ключови доставчици и партньори е друг важен компонент на подготовката. В разгара на инцидента знанието на кого точно да се обадите може да спести ценно време и потенциално да ограничи обхвата на нарушението. Този списък трябва редовно да се проверява и актуализира, за да се отчитат промените в персонала или в отношенията с доставчиците ви.

Организациите трябва също така да имат ясни процедури за ограничаване на достъпа до всяко критично приложение или система в рамките на веригата за доставки.

Невъзможно е да се предвиди всеки потенциален сценарий. Добре позиционираният екип, въоръжен с цялостни планове за реакция и задълбочени познания за екосистемата, обаче е много по-добре подготвен за борба със заплахите.