Предотвращение кибератак на цепочки поставок

Кибербезопасность цепочки поставок вызывает растущую озабоченность на фоне усложняющегося геополитического ландшафта. Большинство организаций работают с третьими сторонами - часто в разных странах - для управления своими системами, а также для создания, производства и доставки своих продуктов. Однако это означает, что уязвимость цепочки поставок представляет собой реальную угрозу, которая может повлиять на деятельность компании. Проблема особенно актуальна сейчас, когда компании все больше полагаются на облачные сервисы, такие как Open AI и Meta, которые могут создавать серьезные угрозы.

Многие страны в настоящее время включают безопасное управление цепочками поставок в свою национальную повестку дня, принимая рекомендации и законы для обеспечения целостности этих важнейших глобальных сетей. Однако ответственность за эффективное управление сетями поставок по-прежнему лежит на компаниях, особенно когда многие бизнес-функции управляются онлайн и в облаке.

Давайте посмотрим, какие уязвимости цепочки поставок являются наиболее важными в сегодняшней деловой среде и как снизить эти риски.

Что такое атака на цепочку поставок?

Кибератаки на цепочку поставок - это особые киберугрозы, при которых злоумышленники взламывают сеть организации, используя уязвимости в ее цепочке поставок. Хотя большинству компаний необходимо работать со сторонними поставщиками, эти внешние поставщики часто требуют от компании конфиденциальных данных для интеграции их в свои системы. Если поставщик будет скомпрометирован, все его клиенты - предприятия, с которыми они работают, - также могут пострадать от утечки данных .

Типы кибератак в цепочке поставок

Атака на цепочку поставок может принимать разные формы, в зависимости от того, где именно в цепочке и как злоумышленник решит атаковать бизнес. Вот некоторые примеры атак на цепочку поставок:

• Вредоносное ПО : многие атаки на цепочку поставок осуществляются с помощью вирусов, программ-вымогателей и других вредоносных программ.
• Фишинговые атаки : могут включать использование методов социальной инженерии для манипулирования сотрудниками компании с целью раскрытия конфиденциальных данных или учетных данных пользователей.
• Распределенный отказ в обслуживании (DDoS) : DDoS-атаки блокируют сеть организации с большим объемом трафика, вызывая серьезные сбои, которые останавливают цепочки поставок.
• Компрометация поставщиков : в этом случае безопасность цепочки поставок ставится под угрозу из-за нацеливания на слабые места в сетях поставщиков компании.
• Мошенничество с поставщиками : ненадежные поставщики могут предлагать продукты и услуги с нарушенной безопасностью цепочки поставок.
• Взлом программного обеспечения : злоумышленники могут манипулировать подлинным программным обеспечением, создавая уязвимости, которые впоследствии могут быть использованы для проведения атак.
• Манипуляция данными : злоумышленники намеренно фальсифицируют данные в цепочке поставок компании.
• Сетевые нарушения : они ставят под угрозу сети или взаимосвязанные устройства между поставщиками и клиентами; это может включать устройства Интернета вещей и сетевое оборудование.

Уязвимости в цепочке поставок

По мере того, как цепочки поставок становятся все более сложными, возрастают проблемы кибербезопасности в цепочках поставок. Вот некоторые из наиболее актуальных проблем в области безопасного управления цепочкой поставок сегодня:

1. Неудовлетворительная работа поставщиков, обусловленная политической или финансовой зависимостью или подверженностью стихийным бедствиям.
2. Сложное планирование спроса, возникающее из-за невозможности точного прогнозирования спроса.
3. Нехватка квалифицированной рабочей силы во всем мире, что наиболее важно для понимания мониторинга безопасности цепочки поставок и передового опыта.
4. Нестабильная экономика с повышенной инфляцией и предсказуемыми ценами затрудняет ведение переговоров с поставщиками и эффективное управление запасами.
5. Сложная для навигации сеть глобальных и локальных санкций и правил.
6. Геополитическая напряженность может нарушить или усложнить цепочки поставок.
7. Потенциальный ущерб репутации от некачественных экологических, социальных и управленческих практик (ESG) среди поставщиков.
8. Возможные стихийные бедствия из-за изменения климата.
9. Повышенные киберриски в результате чрезмерной зависимости поставщиков и организаций от облачных и других цифровых технологий.

сотрудников и уязвимость цепочки поставок

Сотрудники должны быть важной линией защиты в предотвращении атак на цепочку поставок для предприятий. У них может быть доступ к конфиденциальным данным компании или учетным данным, которые предоставляют доступ к этим данным. По этой причине некоторые атаки на цепочки поставок нацелены на сотрудников и превращают их в невольные векторы атаки. Эти атаки часто используют фишинговые электронные письма и методы социальной инженерии для доступа к сети стороннего поставщика и проникновения в сеть целевого предприятия.

По этой причине важно, чтобы компании и поставщики, работающие в рамках цепочки поставок, обеспечивали понимание сотрудниками передовых методов обеспечения безопасности цепочки поставок. Это защищает компанию и ее клиентов.

Многие компании внедряют строгие программы обучения сотрудников в рамках своих стратегий обеспечения устойчивости цепочек поставок. Сюда могут входить:

• Примеры из реальной жизни, иллюстрирующие, как работают атаки на цепочку поставок.
• Распространенные фишинговые атаки и методы социальной инженерии.
• Интерактивное обучение для ускорения обучения.
• Конкретные угрозы, например вредоносное ПО .
• Внедрение контроля доступа, чтобы сотрудники знали, кто и к каким данным должен иметь доступ.
• Изучение того, как безопасно работать со сторонними поставщиками, например, устанавливать требования безопасности и проводить регулярные аудиты.
• Как правильно управлять конфиденциальными данными и делиться ими, включая проверку личности.
• Важность безопасных методов связи.

Лаборатория Kaspersky» предлагает несколько программ обучения и инструментов, которые могут оказаться полезными для повышения осведомленности сотрудников о кибербезопасности в цепочках поставок. Например, Kaspersky Security Awareness Tool оценивает навыки сотрудников в области кибербезопасности, а Kaspersky Automated Security Awareness Platform предлагает ценные знания о предотвращении киберугроз, таких как фишинг, и предотвращении ущерба репутации.

Ключевые шаги по обеспечению безопасности цепочки поставок

Компании могут предпринять различные меры для повышения безопасности цепочки поставок на своем предприятии. Ниже приведены некоторые из наиболее рекомендуемых действий:

1. Внедрить медовые токены, которые действуют как ловушки в случае атак и предупреждают организации о попытках взлома.
2. Используйте надежное решение для обеспечения безопасности в облаке.
3. Используйте эффективную структуру управления привилегированным доступом, чтобы предотвратить обычную последовательность атак, заключающуюся в перемещении по сети с целью поиска привилегированных учетных записей для доступа к конфиденциальным данным; это может включать обнаружение сторонних утечек, реализацию управления доступом к удостоверениям и шифрование всех внутренних данных .
4. Обучите персонал распространенным угрозам безопасности цепочки поставок, включая фишинговые атаки, социальную инженерию, DDoS-атаки и программы-вымогатели.
5. Реализуйте архитектуру Zero Trust, которая разрешает доступ к интеллектуальной собственности только после того, как запросы на подключение проходят строгую оценку - это также полезно для удаленной работы.
6. Выявление и смягчение потенциальных внутренних угроз - несмотря на сложности, регулярное взаимодействие с сотрудниками и открытая рабочая культура могут быть полезны для выявления проблем в масштабах компании до того, как сотрудники станут враждебными и потенциально злонамеренными.
7. Выявите уязвимые ресурсы, поговорив с поставщиками и обозначив потенциальные векторы атак.
8. Ограничьте доступ к конфиденциальным данным за счет минимизации привилегированного доступа и записи всех сотрудников и поставщиков, имеющих доступ к конфиденциальным данным.
9. Убедитесь, что у поставщиков есть меры внутренней безопасности, изложив стандарты и требования к доступу к данным и их использованию в контрактах - прямо укажите, что организация должна быть уведомлена, если поставщик страдает утечкой данных.
10. Диверсифицируйте поставщиков, чтобы снизить потенциальную уязвимость цепочки поставок.
11. Предполагайте, что утечки данных неизбежны, и защитите сотрудников, процессы и устройства от компрометации - это может включать использование антивирусного программного обеспечения, многофакторной аутентификации и решений для мониторинга поверхности атаки.
12. Понять, как глобальная нехватка рабочей силы может повлиять на цепочки поставок, и найти для этого стратегии устойчивости цепочек поставок.

Легализация и безопасность цепочки поставок

Хотя большинство вопросов, связанных с цепочкой поставок, сосредоточено на бизнесе, многие правительства обращают внимание на меры безопасности на национальном уровне и применяют их. Это связано с тем, что проблемы с цепочкой поставок могут иметь серьезные последствия для страны.

Ниже приводится обзор того, как некоторые страны продвигаются к повышению безопасности цепочки поставок:

ЕС

ЕС стремится повысить безопасность управления цепочкой поставок с помощью своей новой Директивы NIS2 . В нем описаны три механизма повышения безопасности цепочки поставок: скоординированная оценка рисков на уровне ЕС; национальная оценка рисков на национальном уровне для государств-членов; и внутренняя оценка рисков для бизнеса.

Соблюдение Директивы NIS2 может потребовать от компаний:

• Рассмотреть уязвимости для каждого поставщика, включая их методы кибербезопасности.
• Провести оценку рисков критических цепочек поставок, как указано в Статье 22 (1), и, что более важно, принять во внимание результаты; Финансовые штрафы могут возникнуть, если государства-члены / предприятия не сделают этого.
• Составьте и обновите список основных операторов и убедитесь, что они соответствуют требованиям директивы.
• Понять национальные стратегии кибербезопасности.
• Разберитесь в масштабах сети CSIRT в ЕС, которая может контролировать активы, подключенные к Интернету.
• Обратите внимание на акцент в директиве на поставщиков программного обеспечения для хранения и обработки данных, управления кибербезопасностью и редакторов программного обеспечения.
• Выявить риски и принять соответствующие меры по их снижению.
• Иметь четкий процесс отчетности об инцидентах - и делать это своевременно
• Сотрудничать с поставщиками для выявления и снижения рисков кибербезопасности.
• Устанавливайте ожидания в отношении безопасности цепочки поставок с поставщиками и проводите регулярные проверки на соответствие.

Великобритания

Великобритания уделяет большое внимание кибербезопасности, особенно в цепочках поставок. Национальный центр кибербезопасности создал Систему кибер-оценки, в которой изложены стратегии смягчения киберугроз. Принцип 8 Руководства по безопасности облака конкретно относится к передовым методам обеспечения безопасности цепочки поставок и облачным сервисам, которые особенно уязвимы для атак.

Предлагаемый здесь совет предполагает, что предприятия понимают:

• как их данные передаются поставщикам и используются ли они
• как данные о клиентах являются частью этого
• как оборудование и программное обеспечение поставщика имеют соответствующие меры безопасности
• как оценивать риски поставщика
• как обеспечивать соблюдение требований безопасности с поставщиками

Вышеупомянутое правительственное руководство предлагает несколько подходов к реализации при использовании облачных сервисов, в том числе:

• Понимание разделения в облачных сервисах, которые могут быть построены на сторонних продуктах IaaS или PaaS.
• При оценке рисков следует учитывать конфиденциальность данных, особенно при использовании сторонних сервисов.
• Рассмотрение того, как сторонние сервисы описывают отношения обмена данными и обеспечение их соответствия GDPR.

Рекомендации по предотвращению атак на цепочку поставок

Хотя невозможно устранить угрозы безопасности цепочки поставок, есть способы снизить риски, особенно обращая внимание на поставщиков. Организациям может быть полезно:

1. Регулярно проводить и контролировать оценку рисков цепочки поставок для сторонних поставщиков.
2. Выявление и устранение любых нарушений или утечек данных третьих лиц, которые могут привести к атакам на цепочку поставок.
3. Обозначьте профиль риска для каждого поставщика, затем сгруппируйте поставщиков по уровню / типу угрозы.
4. Ранжируйте поставщиков по уязвимости, доступу к данным и влиянию на бизнес.
5. Оцените управление цепочкой поставок с помощью опросов и посещений объектов.
6. Выявление уязвимостей в системах поставщика и запрос на улучшение.
7. Оцените безопасность продуктов и услуг, предоставляемых поставщиками.

Использование надежных программ безопасности и антивирусных программ, таких как Kaspersky Hybrid Cloud Security , также должно стать частью первой линии защиты для цепочек поставок.

Статьи по теме:

• Что такое кража данных и как ее избежать
• Как предотвратить кибератаки
• Как защитить вашу конфиденциальность в Интернете

Рекомендуемые продукты:

• Kaspersky Security для виртуальных и облачных сред
• Kaspersky Next
• Kaspersky Managed Detection and Response