Fortra. Οι κίνδυνοι της εφοδιαστικής αλυσίδας
Οι εφοδιαστικές αλυσίδες της σημερινής παγκόσμιας οικονομίας εξαρτώνται σε μεγάλο βαθμό από την τεχνολογία και τα συστήματα πληροφορικής για την παράδοση ολοκληρωμένων τελικών προϊόντων και υπηρεσιών στον τελικό χρήστη και καταναλωτή. Παρόλα αυτά, όσα και αν είναι τα οφέλη μίας υπερσυνδεδεμένης οικονομίας, οι εφοδιαστικές αλυσίδες εγκυμονούν υψηλούς κινδύνους.
Τυπικά, τα συστήματα έχουν ευπάθειες και τρωτά σημεία που αν αξιοποιηθούν από τους κυβερνοεγκληματίες, μπορεί να έχουν εκτεταμένες και σημαντικές αρνητικές επιπτώσεις. Σύμφωνα με μια πρόσφατη μελέτη της Interos, οι επιθέσεις στην εφοδιαστική αλυσίδα έχουν αυξηθεί σε ποσοστό άνω του 600% και ομάδες κυβερνοεγκληματιών και παραγόντων απειλών (όπως η Magecart) αξιοποιούν exploits ειδικά για την εφοδιαστική αλυσίδα τα οποία καταλήγουν να γίνονται πρωτοσέλιδα χάρη σε επιθέσεις υψηλού προφίλ.
Δεν αποτελεί λοιπόν έκπληξη που η διασφάλιση της ψηφιακής αλυσίδας εφοδιασμού έχει γίνει υψηλή προτεραιότητα για οργανισμούς που θέλουν να αποφύγουν τις διακοπές λειτουργίας, που θέλουν να προστατεύσουν τα ευαίσθητα δεδομένα τους και να αποτρέψουν τυχόν ζημιά στην επωνυμία τους.
Διασφαλίζοντας τους συνεργάτες σας
Οι επιχειρήσεις θα πρέπει να ξεκινήσουν με τον εντοπισμό και την κατανόηση των κινδύνων που εγκυμονεί κάθε επιχειρηματικός τους εταίρος και συνεργάτης. Οι ηγέτες ασφαλείας πρέπει να αξιολογήσουν τους ελέγχους ασφαλείας που ισχύουν, τους ελέγχους μετριασμού και αντιστάθμισης καθώς και να αξιολογήσουν τον τρόπο που κάθε προμηθευτής και πάροχος παρακολουθεί τη στάση κινδύνου του. Και αυτό είναι απαραίτητο να γίνει για κάθε επιχειρηματικό εταίρο -δεν γίνεται να υπάρχει αδύναμος κρίκος.
Συνήθως, μπορεί να προχωρήσει στο παραπάνω ζητώντας από κάθε εταίρο να συμπληρώσει ένα ερωτηματολόγιο, το οποίο μπορεί να ποικίλλει από μερικές δεκάδες ερωτήσεις έως πάνω από εκατό. Αν και ενδεχομένως είναι κουραστικό, ο σκοπός είναι να γίνει κατανοητός ο κίνδυνος συναλλαγών με έναν συγκεκριμένο συνεργάτη και να καθοριστεί αν είστε σε θέση να αποδεχτείτε ή όχι τον συγκεκριμένο κίνδυνο. Ορισμένες εταιρείες προχωρούν ακόμα και στην έκδοση μίας «βαθμολογίας FICO για την κυβερνοασφάλεια» μέσω της οποίας κάθε μέρος λαμβάνει μία βαθμολογία για την ασφάλεια.
Διασφαλίζοντας τον δικό σας οργανισμό
Οι οργανισμοί θα πρέπει επίσης να αξιολογήσουν και τη δική τους κουλτούρα ασφάλειας. Κάθε οργανισμός έχει προσθέσει στη στρατηγική ασφαλείας του ελέγχους πρόληψης και ανίχνευσης. Ωστόσο, είναι ζωτικής σημασίας να συνεχίσουμε να βελτιώνουμε την κουλτούρα της ευαισθητοποίησης για την ασφάλεια, καθώς το ανθρώπινο λάθος εξακολουθεί να αποτελεί έναν από τους κορυφαίους παράγοντες για την πραγματοποίηση επιθέσεων και παραβιάσεων. Πράγματι, σύμφωνα με την έκθεση της Verizon για τις παραβιάσεις δεδομένων το 2023 (Verizon Data Breach Investigation Report 2023 ή DBIR) το 74% του συνόλου των παραβιάσεων οφείλονται στο ανθρώπινο στοιχείο,.
Ένας από τους καλύτερους τρόπους για να αντιμετωπίσετε και να καταπολεμήσετε το ανθρώπινο λάθος είναι η εκπαίδευση. Θα διαπιστώσετε ότι υπάρχουν ακόμη πολλά να μάθετε για την προστασία της επιχείρησης σας από τους εξωτερικούς κινδύνους. Η εκπαίδευση ευαισθητοποίησης σε θέματα ασφαλείας για τη διαχείριση των κινδύνων που προέρχονται από τρίτους μπορεί να σας βοηθήσει να κατανοήσετε τις αδυναμίες ενός πιθανού συνεργάτη σας στην ασφάλεια πριν προχωρήσετε σε συνεργασία μαζί τους αναλαμβάνοντας και τον κίνδυνο.
Ομοίως, η εσωτερική εκπαίδευση ευαισθητοποίησης σε θέματα ασφαλείας μπορεί να βοηθήσει τις ίδιες τις εταιρείες να βεβαιωθούν ότι δεν πρόκειται να θέσουν άλλες εταιρείες (π.χ. εταίρους, συνεργάτες) σε κίνδυνο. Τα συγκεκριμένα προγράμματα εντοπίζουν και βελτιώνουν τομείς της ασφάλειας που έχουν αδυναμίες έτσι ώστε οι συμπεριφορές των εργαζομένων να μην αποτελέσουν τον αδύναμο κρίκο για την εταιρεία ή οποιονδήποτε από τους συνεργάτες της. Το παραπάνω μπορεί να συνεπάγεται την προσθήκη προσομοιώσεων phishing, την εφαρμογή νέων τρόπων εμπλοκής των εργαζομένων και την τροποποίηση στρατηγικών επικοινωνίας σχετικά με τις τακτικές που χρησιμοποιούνται σήμερα από τους κυβερνοεγκληματίες και τους παράγοντες απειλής.
Οι εταιρείες θα πρέπει επίσης να εξετάσουν -και ενδεχομένως να αναθεωρήσουν- τον τρόπο εμπλοκής της ομάδας ασφαλείας τους με την υπόλοιπη επιχείρηση. Έτσι, θα αποκαλυφθεί αν αντιμετωπίζονται ως λειτουργικοί συνεργάτες ή αν υπάρχουν «στεγανά» με αποτέλεσμα οι υπάλληλοι να βλέπουν τα ζητήματα κυβερνοασφάλειας ως πρόβλημα μόνο του τμήματος «πληροφορικής» (IT).
Επί του παρόντος, οι μεγαλύτεροι τομείς αδυναμίας της εφοδιαστικής αλυσίδας περιλαμβάνουν την αποθήκευση στο νέφος (cloud storage), τις βάσεις δεδομένων και τα παραβιασμένα διαπιστευτήρια. Αυτοί είναι τομείς όπου παρατηρείται να υπάρχει καθημερινή «τριβή» με τους υπαλλήλους και επομένως είναι υποχρέωση και καθήκον των ίδιων των εργαζομένων να αλληλεπιδρούν με αυτούς τους τομείς με ασφάλεια. Βελτιώνοντας γενικότερα την κουλτούρα της εταιρείας σας σε θέματα κυβερνοασφάλειας θα μειώσει σημαντικά την πιθανότητα κάποιας παραβίασης καθώς οι εργαζόμενοι σας θα αρχίσουν να μαθαίνουν και να αναγνωρίζουν τα όποια προειδοποιητικά σημάδια κινδύνου.
Διασφαλίζοντας τον κύκλο ανάπτυξης λογισμικού
Η διαδικασία ανάπτυξης λογισμικού είναι ένας άλλος τομέας που πρέπει να αξιολογηθεί στο πλαίσιο μιας ασφαλούς αλυσίδας εφοδιασμού.
Αυτός είναι ένας τομέας που μπορεί να σας δείξει αν η ομάδα ασφαλείας μπορεί να εκληφθεί ως πολύτιμος επιχειρηματικός εταίρος ή ως ανασταλτικός παράγοντας. Για παράδειγμα, ο κώδικας ανοιχτού λογισμικού χρησιμοποιείται όλο και περισσότερο από εταιρείες τελευταία καθώς μπορεί να επιταχύνει σημαντικά την υλοποίηση έργων ανάπτυξης λογισμικού. Παρόλα αυτά, δεν υπάρχουν εγγυήσεις ότι οι βιβλιοθήκες ανοιχτού κώδικα έχουν υποβληθεί σε σωστή επιθεώρηση για την ασφάλεια τους.
Αν υπάρχει καλή σχέση, η επιχείρηση θα φροντίσει για την εμπλοκή της ομάδας ασφαλείας στα πρώτα στάδια της διαδικασίας. Άλλωστε είναι κατανοητή η αξία της πραγματοποίησης δοκιμών ασφάλειας εφαρμογών από νωρίς, ώστε όσα κενά ασφαλείας βρεθούν να μπορούν να επιδιορθωθούν το ταχύτερο δυνατόν από τις ομάδες. Και αυτό καθορίζει μία πορεία για να συνεχίσουν να ακολουθούν καθ’ όλη τη διάρκεια του κύκλου ανάπτυξης.
Αν πάντως αν η ομάδα ασφαλείας δεν εμπλακεί μέχρι το τέλος του κύκλου, συνήθως αποτελεί σημάδι ότι είτε κάτι δεν πάει καλά στη διαδικασία είτε ότι οι πρακτικές ασφαλείας δεν αποτιμώνται με τον τρόπου που θα έπρεπε. Αν η ομάδα ασφαλείας εμπλακεί μόνο στο τέλος του κύκλου ανάπτυξης, υπάρχει μεγάλος κίνδυνος να επακολουθήσουν σημαντικές καθυστερήσεις εξαιτίας της κρισιμότητας των ευπαθειών ή των τρωτών σημείων που ενδέχεται να ανακαλυφθούν. Αυτά τα ελαττώματα πρέπει να επιδιορθωθούν και αυτό μπορεί να οδηγήσει σε άλλα ζητήματα, όπως καθυστερήσεις στην παράδοση και τεταμένες σχέσεις μεταξύ της επιχείρησης και της ομάδας ασφαλείας.
Η Επιχειρησιακή Ασφάλεια είναι πλέον ομαδικό άθλημα
Η ασφάλεια της εφοδιαστικής αλυσίδας δεν είναι κάτι το καινούριο και οι περισσότεροι ηγέτες σε θέματα ασφάλειας θα κληθούν κάποια στιγμή να την αντιμετωπίσουν. Μέχρι πριν από λίγα χρόνια αποτελούσε μία διαχείριση υπόθεση. Με την τεχνολογική έκρηξη των τελευταίων δεκαετιών ωστόσο και τον επιταχυνόμενο ρυθμό της ψηφιακής επανάστασης έχει μετατραπεί σε πρόβλημα που μεγαλώνει καθημερινά.
Αν και η ασφαλής διαχείριση της εφοδιαστικής αλυσίδας είναι κάτι που δεν θα τελειοποιηθεί ποτέ, εναπόκειται σε κάθε οργανισμό να τηρήσει τη δέουσα επιμέλειά προτού προχωρήσει στη σύναψη επιχειρηματικών συνεργασιών. Η μοίρα μιας εταιρείας στην τελική εξομοιώνεται με εκείνη του λιγότερου προστατευμένου συνεργάτη της, επομένως ο έλεγχος για αδυναμίες στην κυβερνοασφάλεια πριν από την υπογραφή οποιασδήποτε σύμβασης αποτελεί εύλογο και απαραίτητο μέρος της επιχειρηματικής δραστηριότητας του σήμερα.
Ακριβώς για αυτό είναι ευθύνη κάθε οργανισμού να αξιολογεί όχι μόνο τους εταίρους του, αλλά και τον ίδιο τον εαυτό του. Σε μια ψηφιακά συνδεδεμένη αλυσίδα εφοδιασμού, αυτό που συμβαίνει σε έναν μπορεί να επηρεάσει όλους τους υπόλοιπους. Οι εταιρείες θα πρέπει να φροντίζουν ώστε όλα τα συνεργαζόμενα μέρη να διατηρούν και να συμμορφώνονται με τα υψηλότερα πρότυπα ασφάλειας του κλάδου. Φυσικά, το ίδιο πρέπει να περιμένουν και από τις δικές τους ομάδες. Σε τελική ανάλυση, μπορεί να αποτελούν μέρος της εφοδιαστικής αλυσίδας κάποιου άλλου.
Πηγή: Fortra