Кибератаки
Colonial Pipeline, SolarWinds и Microsoft Exchange являются последними яркими
напоминаниями о том, что кибербезопасность является основной проблемой цепочки
поставок и угрозой, частота и влияние которой растут.Трубопровод
Colonial Pipeline в прямом смысле слова олицетворяет цепочки поставок,
обеспечивая 45 процентов топлива на Восточном побережье США.У
SolarWinds была скомпрометирована цепочка поставок программного обеспечения для
разработки программного обеспечения, что повлияло на обновление программного
обеспечения для управления сетью для 18 000 пользователей, включая несколько
ключевых правительственных учреждений США.Между
тем, атака Microsoft Exchange затронула по меньшей мере 30 000 пользователей.
Это яркие примеры
того, почему кибербезопасность цепочки поставок так важна.Хакеры
систематически нарушают работу организаций напрямую и используют компании
косвенной цепочки поставок в качестве шлюза для доступа к ценным целям.
Все это
происходит во время сбоев на рабочих местах, вызванных пандемией COVID-19.Компании
ускоряют свою цифровую трансформацию, чтобы добиться большей прозрачности,
гибкости и устойчивости к выходу на рынок и удовлетворению потребностей своих
клиентов.Каждый
день происходит обмен более важными данными в глобальных цепочках поставок.Все
компании сегодня связаны.Ни одна
компания не является и не может быть информационным замком, окруженным
непроницаемым рвом.
SolarWinds
— это уродливое напоминание о том, что если компании в вашей экосистеме
уязвимы, вы тоже уязвимы.С этого
момента вы никогда больше не должны думать о кибербезопасности, без учета риска третьих лиц.И
наоборот, компании в вашей цепочке поставок, даже небольшие, никогда не должны
думать, что они в безопасности, потому что у вас “нет ничего, что могло бы
понадобиться хакерам”.
В
сегодняшнем взаимосвязанном и все более цифровом мире цепочек поставок каждая
организация любого размера является потенциальной мишенью.Хакеры
попытаются пройти через вас, чтобы попасть в другую компанию, и они попытаются
пройти через ваших клиентов или поставщиков, чтобы добраться до вас.Вся
ситуация значительно усложняется из-за новых гибридных бизнес-моделей.Ваши
сотрудники могут перемещаться из дома в офис, используя разные устройства и
подключения.Хотя вы
можете чувствовать, что держите ситуацию под контролем, а как
насчет ваших поставщиков, партнеров и других третьих сторон в вашей цепочке
поставок?
Для
крупных компаний: вот несколько основных шагов, которые вы
должны немедленно предпринять с заинтересованными сторонами вашей цепочки
поставок, чтобы помочь им защитить себя и, в конечном счете, защитить вас.
Прежде
всего, вы должны убедиться, что у вас и у каждой компании в вашей цепочке
поставок есть план реагирования на инциденты, который включает регулярное
резервное копирование критически важных данных.Как
подчеркивает инцидент с Colonial, знание того, что делать во время и после
события, а также резервное копирование важных данных в случае атаки программ-вымогателей
может означать разницу между серьезным ударом по вашему бизнесу и легким
раздражением.
Чтобы
помочь реализовать это и другие действия, компании в вашей цепочке поставок
должны иметь назначенного, обученного киберлидера.Человек,
который отвечает за формирование культуры кибербезопасности, уделяя особое
внимание человеческому поведению.Им не
нужно быть экспертами в области технологий.Они
должны быть в состоянии донести до всех, насколько важно развивать хорошие
киберпривычки.Они
должны убедиться, что компания внедрила несколько простых политик по четырем
основным вопросам:
- Парольные
фразы:предложить им
сменить пароли на 15-символьную парольную фразу.Сообщалось,
что некоторые сотрудники SolarWinds использовали “solarwinds123” в качестве
своего пароля.Не
позволяйте хакерам легко взломать ваши пароли.Любой
8-символьный пароль можно взломать за 3 минуты, но на создание 13-символьного
пароля уходит 5,2 миллиона лет. - многофакторная
аутентификация:Используйте
ее в любое время, когда она будет
предложена.Если она не
предлагается, подумайте о переходе на программное обеспечение или услугу,
которые ее предлагают. - Фишинг:Попросите
их провести переподготовку сотрудников о том, как распознать фишинговое
электронное письмо или текстовое сообщение.Электронное
письмо может даже выглядеть так, как будто оно исходит от другого сотрудника их
компании или вашей компании.Укрепите сообщение, чтобы никогда не открывать вложение или
ссылку, если это вызывает подозрение.Скажите
им, чтобы они связались с отправителем по альтернативным каналам, чтобы
убедиться, что он реален. - Устройства:Поощряйте
третьи стороны проверять, какие устройства используют их сотрудники для
подключения к своей или вашей сети.Если они
используют персональные устройства, убедитесь, что они соблюдают правила,
касающиеся парольных фраз и многофакторной аутентификации.Избегайте
использования USBs и съемных носителей.
Эти
основные моменты и другие рекомендации, разработанные совместно Институтом цифровых цепочек
поставок (DSCI) и Институтом
киберготовности (CRI), могут помочь вам начать укреплять свою безопасность и безопасность вашей
цепочки поставок путем создания операционной культуры кибербезопасности.Начните
сегодня с повышения осведомленности среди ваших третьих сторон.Подтолкните
их к развитию хороших киберпривычек.Это очень
важно для вашей компании и для каждой компании, с которой вы соприкасаетесь.Работая
вместе, мы можем улучшить кибербезопасность для всех.
Крейг
Мосс — исполнительный вице-президент Ethisphere.Он также
является директором по управлению изменениями в Институте цифровых цепочек
поставок и директором по контенту в Институте киберготовности.
Кристофер
Г. Кейн — президент Центра глобального предпринимательства, нью-йоркской
некоммерческой организации, занимающейся изучением современной корпорации в
эпоху глобальной экономической интеграции.Он также
является президентом и генеральным директором Mercator XXI, фирмы, предоставляющей
профессиональные услуги, помогающей клиентам участвовать в глобальной экономике.