Ланцюги поставок — це мережі між компанією та постачальниками, на яких вона покладається для виробництва та розповсюдження продуктів або послуг компанії. Управління ланцюгом постачання передбачає управління потоком товарів, включаючи всі процеси, які беруть участь у перетворенні сировини, яку споживає організація, у готову продукцію чи послуги, які організація надає. Управління ланцюгом постачання включає в себе планування та керування всією діяльністю, пов’язаною з пошуком, закупівлею та переробкою сировини, а також функціями управління логістикою.
Однією з основних причин, чому компанії впроваджують глобальну стратегію управління ланцюгом поставок, є посилення своєї конкурентної переваги. Однак багато з переваг, які приходять разом із ланцюгами поставок, можуть також збільшити ризик організації щодо якості, безпеки, безперервності бізнесу, репутації та кібербезпеки.
Відколи почалася пандемія COVID-19, ланцюжки постачання стали дедалі помітнішими в засобах масової інформації, оскільки наслідки збоїв у ланцюгах постачання досягли домівок звичайних споживачів у всьому світі. Пандемія підкреслила вразливість традиційних ланцюгів постачання до таких збоїв. Кожен бізнес стикається з внутрішніми та зовнішніми ризиками, пов’язаними з перебоями в ланцюзі поставок. Управління ризиками, пов’язаними з такими збоями, називається управлінням ризиками ланцюга поставок (SCRM).
Управління ризиками в ланцюжку поставок — це процес виявлення, оцінки, визначення пріоритетів і пом’якшення загроз вашому ланцюгу поставок і ризиків, які вони створюють. Важливим елементом управління ризиками ланцюга поставок є управління ризиками третьої сторони (TPRM). Організації майже в кожній галузі працюють з певним типом третьої сторони по всьому ланцюжку постачання, будь то постачальники, субпідрядники чи постачальники послуг. Природа цих ділових відносин неминуче наражає ці організації на потенційні ризики.
Дослідження показують, що в середньому організації діляться своїми даними приблизно з 730 постачальниками. З тих організацій, які обмінюються даними з третіми сторонами, 53 відсотки зазнали принаймні одного порушення даних, спричиненого третьою стороною, із середньою втратою близько 7,5 мільйонів доларів США . Окрім витоку даних, інші ризики зовнішнього ланцюжка поставок включають ризики, спричинені непередбачуваним або неправильно зрозумілим попитом споживачів; перебої в надходженні продукції, включаючи сировину, деталі та готову продукцію; стихійні лиха, такі як землетруси, урагани та торнадо; і більше.
Водночас ризики внутрішнього ланцюга постачання можуть включати ризики, викликані збоями у внутрішніх операціях; зміни в ключовому менеджменті, персоналі та бізнес-процесах; недотримання екологічних норм або трудового законодавства; відсутність належної політики кібербезпеки та засобів контролю для захисту від кібератак і витоку даних; і більше. Як би ви не дивилися на це, участь вашої організації в ланцюжку постачання (зокрема, аутсорсинг третім сторонам) неминуче створює ризик для вашої організації. Незалежно від того, чи йдеться про юридичний ризик, ризик відповідності, фінансовий, стратегічний або репутаційний ризик, ланцюжок постачання загрожує вашому бізнесу численними потенційними збоями, з якими інакше він міг би не зіткнутися.
Можливо, найсерйознішим ризиком для вашого бізнесу є кіберризик у вашому ланцюжку постачання: можливість виникнення інциденту з кібербезпекою та порушення ваших даних і бізнес-операцій. Оскільки організації продовжують покладатися на все більше і більше третіх сторін, а кількість інцидентів кібербезпеки зростає відповідно до цієї тенденції, як ніколи важливо, щоб ваша організація створила та виконувала план керування ризиками, пов’язаними з ланцюгом постачання, щоб захистити свій бізнес і клієнтів. та будь-яка інша підприємницька діяльність. відносини, від потенційних ризиків зриву до кібербезпеки ланцюга постачання.
Як ми зазначали вище, кіберризик стає дедалі важливішим ризиком, який ланцюги поставок представляють для організацій. На жаль, більшість організацій, які працюють уздовж ланцюга постачання, врешті-решт постраждають від певного типу перебоїв у роботі даних, фінансів або бізнес-операцій. Те, як ці збої в свою чергу вплинуть на ваш бізнес, визначатиметься ефективністю вашої стратегії управління ризиками в ланцюзі постачання.
У міру того як бізнес-середовище стає все більш цифровим, Інтернет речей (IoT), промисловий Інтернет речей (IIoT) та інші цифрові технології продовжуватимуть відігравати важливу роль для багатьох організацій, особливо при оптимізації їхніх операцій у ланцюзі поставок. Однак ці нові технології також піддають підприємства новим загрозам кібербезпеки, таким як зловмисне програмне забезпечення, програми-вимагачі, фішинг і хакерство.
Деякі з найпоширеніших ризиків, які сьогодні впливають на організації вздовж ланцюга поставок, включають витоки даних, порушення кібербезпеки, а також атаки зловмисного програмного забезпечення та програм-вимагачів. Далі ми докладніше розглянемо кожен із цих кіберризиків і те, як вони можуть зашкодити вашому бізнесу.
Порушення даних є однією з найсерйозніших загроз кібербезпеці, з якою сьогодні стикаються організації. Цілком імовірно, що частота та серйозність цих інцидентів безпеки продовжуватимуть зростати в найближчі роки. Коли організація зазнає витоку даних або порушення даних, це часто призводить до значних фінансових втрат і репутаційної шкоди, окрім юридичних і регуляторних наслідків.
У 2021 році середня вартість витоку даних становить 4,2 мільйона доларів. Згідно з одним дослідженням, навіть за наявності належних нормативних та відповідних стандартів організаціям часто потрібно багато часу, щоб виявити порушення даних після того, як воно сталося: приблизно 197 днів. Що ще гірше, це число зростає, коли організації стають витоками даних після інцидентів безпеки ланцюга поставок. IBM та Ponemon Institute повідомляють, що компанії потрібно в середньому 280 днів, щоб виявити втечу сторонніх даних.
Чим більше ви ділитеся конфіденційними даними з третіми сторонами у вашому ланцюжку поставок, тим більша ймовірність того, що ваші дані будуть скомпрометовані або витоку. Конфіденційні дані – це інформація, яку необхідно захистити від несанкціонованого доступу, щоб захистити конфіденційність або безпеку особи чи організації. Це може бути у формі інтелектуальної власності або особистої інформації (PII).
Деякі з найпоширеніших порушень даних, спричинені сторонніми постачальниками, є результатом несанкціонованого доступу через обліковий запис електронної пошти компанії, злому постачальника послуг електронної пошти, відсутності шифрування, незахищених веб-сайтів і неправильно збереженої інформації для входу.
У деяких випадках треті сторони можуть навіть зловмисно витікати конфіденційні дані клієнтів за межі бізнесу, роблячи вашу організацію вразливою до атак на ланцюг поставок з боку кіберзлочинців, хакерів і навіть держав-ізгоїв.
Ця категорія навмисно розширюється, оскільки існує низка нових технологій, які роблять організації більш уразливими до кібератак у всьому ланцюжку поставок у спосіб, який ніколи раніше не бачив. Сьогодні будь-який пристрій, підключений до Інтернету, створює ризики для ланцюга поставок. Наприклад, IoT часто відноситься до споживчих пристроїв, таких як персональні фітнес-трекери або розумні термостати; у 2021 році у світі налічується понад 10 мільярдів активних пристроїв IoT. IoT особливо стосується пристроїв, які підтримують набагато більший бізнес.
IIoT призначений для прискорення виробництва та включає пристрої, підключені та обмінюючись даними через Інтернет, від датчиків і ваг до двигунів і ліфтів. Ці технології допомагають організаціям підвищити ефективність, зокрема скоротити час виходу на ринок, краще відстежувати активи вздовж ланцюга постачання, скоротити витрати та безпечніші робочі місця тощо. Вони також створюють низку ризиків для кібербезпеки для організацій, які їх використовують. Кіберзлочинці знають, що безпека IoT та IIoT не є найкращою, що робить їх легшою мішенню для кібератак.
Згідно зі статистикою атак на основі Інтернету речей за 2019 рік, середній пристрій Інтернету речей піддається атаці лише через п’ять хвилин після запуску. Для пристроїв IIoT, на яких працюють промислові системи, наслідки порушення кібербезпеки можуть бути набагато руйнівнішими: втрата виробництва, вплив на дохід, крадіжка даних, значні пошкодження обладнання, промислове шпигунство та навіть тілесні ушкодження. Оскільки все більше пристроїв і датчиків підключаються до мережі, вони продовжуватимуть створювати нові канали зв’язку, сховища даних, шлюзи та кінцеві точки. Ця збільшена поверхня атаки створює ще більше вразливостей, якщо ці кінцеві точки не захищені.
Атаки зловмисного програмного забезпечення та програм-вимагачів, на жаль, стають все більш поширеними. Ці атаки призначені для викрадення інформації, зміни внутрішніх даних або знищення конфіденційної інформації.
Зловмисне програмне забезпечення – це будь-яке нав’язливе програмне забезпечення, яке може проникнути у ваші комп’ютерні системи, щоб пошкодити або знищити їх або викрасти з них дані. Найпоширеніші типи атак зловмисного програмного забезпечення включають віруси, хробаки, трояни та програми-вимагачі.
Однією з найбільш пам’ятних атак зловмисного програмного забезпечення в новітній історії є атака зловмисного програмного забезпечення SolarWinds 2020 року . На початку року кіберзлочинці зламали системи компанії SolarWinds у Техасі та додали шкідливий код у програмну систему компанії Orion, яку широко використовували приблизно 33 000 їхніх клієнтів для керування своїми ІТ-ресурсами.
У березні 2020 року компанія SolarWinds розіслала своїм клієнтам оновлення програмного забезпечення, використовуючи Orion, включаючи шкідливий код, який встановили хакери. Потім зловмисне програмне забезпечення створило бекдор в ІТ-системи клієнтів SolarWinds, дозволяючи кіберзлочинцям встановлювати ще більше шкідливих програм для стеження за цими компаніями та організаціями.
Ще один популярний тип атак зловмисного програмного забезпечення – програми-вимагачі. Ця форма зловмисного програмного забезпечення шифрує файли жертви, дозволяючи зловмиснику вимагати грошову оплату в обмін на ключ дешифрування. У більшості випадків грошовий обмін на ключ дешифрування для відновлення ваших даних відбувається за допомогою криптовалют, таких як біткойн, щоб приховати особу зловмисників.
У 2021 році атака програми-вимагача на Colonial Pipeline змусила компанію припинити свою діяльність на кілька днів, що призвело до дефіциту бензину на півдні США. Спочатку хакери отримали доступ до мереж Colonial через обліковий запис віртуальної приватної мережі (VPN), який дозволяв її співробітникам віддалено отримувати доступ до комп’ютерної мережі. Проте VPN не вимагала багатофакторної автентифікації для отримання доступу, що дозволило зловмисникам зламати мережу Colonial, використовуючи лише скомпрометовані ім’я користувача та пароль – інформацію, ймовірно, отриману під час витоку даних, який відкрив облікові дані для входу співробітника.
Зрештою Colonial заплатив хакерам 4,4 мільйона доларів в обмін на ключ дешифрування для відновлення їхніх даних. Однак ключ дешифрування працював настільки повільно, що компанії все одно довелося покладатися на власні резервні копії, щоб відновити службу. Згодом Colonial Pipeline вдалося відновити роботу, але лише після нищівного удару по їхньому бізнесу, що призвело до ряду фінансових і репутаційних наслідків.
Щоб захистити свою організацію та її клієнтів від кіберризиків, описаних вище (та інших), ваша компанія може застосувати низку найкращих методів управління ризиками в ланцюзі поставок . Ось кілька способів посилення захисту вашої кібербезпеки від вищезазначених кіберризиків:
Встановлення стандартів відповідності для всіх ваших сторонніх постачальників, включаючи виробників, постачальників і дистриб’юторів.
Чітке визначення ролей користувачів і впровадження заходів безпеки для обмеження доступу до ваших систем, а також того, який рівень дозволу або привілеїв вони мають. Це відомо як принцип найменших привілеїв.
Визначення та документування стандартів управління даними та визначення того, хто володіє певними даними, а також те, що їм дозволено робити з цими даними.
Проведення повного навчання з питань безпеки для всіх ваших співробітників.
Співпраця з постачальниками у вашій мережі постачання для розробки єдиного плану аварійного відновлення для забезпечення безперервності бізнесу.
Встановлення контролю резервного копіювання для захисту ваших резервних копій даних.
Регулярне оновлення програмного забезпечення, включаючи антивірусне, антишпигунське програмне забезпечення та брандмауери. Ви також повинні розглянути більш просунуті засоби кібербезпеки, такі як фільтрація DNS і контроль доступу до мережі.
Вибір програмного рішення, такого як платформа Reciprocity ROAR , яке забезпечує повну видимість ризиків у вашому ланцюзі поставок, щоб ви могли швидко визначити ризиковану поведінку чи незвичайну діяльність.
Тепер, коли ми краще розуміємо деякі з найпоширеніших кіберризиків ланцюга постачання, настав час поглянути на кроки, які ви можете зробити, щоб реалізувати успішну стратегію управління ризиками ланцюга постачання, яка найкраще підходить для вашого бізнесу.
Як і в будь-якій програмі управління ризиками, першим кроком є переконатися, що у вас є потрібні люди для досягнення успіху. Необхідно зібрати команду людей, які зможуть визначати, аналізувати, визначати пріоритети та зменшувати ризики в ланцюзі поставок.
Коли у вас буде своя команда, починайте разом етап планування. Визначте конкретні ролі та обов’язки для членів вашої команди, створіть або включіть існуючу політику управління ризиками постачальника та вирішіть, як ви будете складати детальний опис процедур і процесів, які ви використовуватимете для кожного етапу стратегії управління ризиками ланцюга поставок.
Детальний план управління ризиками є найнадійнішим способом підготувати вашу команду та ширшу організацію до неминучих ризиків, з якими ви зіткнетеся вздовж ланцюжка поставок. Для управління кіберризиками вам потрібно звернути особливу увагу на ризики, які впливають на вашу кібербезпеку, і на те, де ці ризики можуть завдати шкоди вашій організації вздовж ланцюга постачання.
Вам також потрібно буде встановити деякі показники для вимірювання ризику; Чи вирішите ви використовувати якісні вимірювання, такі як висока/середня/низька шкала, або кількісні показники, як-от статистичний аналіз, залежить від вас. Зрештою, ви повинні вибрати методологію, яка найкраще відповідатиме потребам вашого бізнесу.
Перш ніж почати наступний крок, вам також слід приділити деякий час посиланням на будь-які існуючі фреймворки, які можуть допомогти на цьому шляху. На щастя, існує низка систем управління ризиками та підходів, які можна використовувати під час створення або зміцнення програми управління ризиками ланцюга поставок. Почніть із Національного інституту стандартів і технологій (NIST) і Міжнародної організації стандартизації (ISO), щоб отримати приклади механізмів управління ризиками, які можуть допомогти вашій організації розпочати регулятивний шлях на власний ризик.
Перш ніж ви зможете зменшити ризик, ви повинні спочатку визначити, що він існує. На етапі ідентифікації ризиків ваша команда повинна брати участь у настільних вправах, щоб виявити існуючі ризики, а також подумати про будь-які потенційні ризики, які ще не ідентифіковані. Це включає в себе складання списку ризиків вашого ланцюжка поставок, щоб ви могли почати їх аналізувати.
Ви також повинні скористатися цією можливістю, щоб переглянути свої угоди про рівень обслуговування (SLA) для кожної третьої сторони, яка у вас є, щоб переконатися, що ваші постачальники працюють належним чином, і визначити вимоги відповідності для вашої організації. Ваша організація повинна завжди знати, яким нормам і стандартам повинні відповідати як ви, так і ваші треті сторони.
Далі почніть процес аналізу ризиків. Почніть із проведення аналізу ризиків ланцюга постачання, власними силами або незалежною фірмою з кібербезпеки чи спеціалістом. Оцінка ризиків допоможе вам визначити природу та ступінь виявлених ризиків уздовж ланцюга постачання, щоб ви могли класифікувати своїх підрядників за ризиком і рівнем доступу.
Зрештою, оцінка ризиків кібербезпеки має надати вам глибокий аналіз усіх ваших ризиків кібербезпеки, включно з тими, що виникають у мережі постачання.
Призначте кожному ризику рівень ризику та класифікуйте ризики ланцюжка поставок за типом. Потім визначте пріоритетність цих ризиків відповідно до відповідних рівнів ризику. Як правило, ви повинні спочатку мати справу з ризиками найвищого рівня, а потім рухатися вниз у списку відповідно до пріоритету ризику.
Коли ви визначите, які ризики потребують вашої уваги в першу чергу, вирішіть, як впоратися з кожним із них. Для кожного ризику вам потрібно вирішити, прийняти, відхилити, передати чи пом’якшити ризик. Щодо ризику в ланцюзі поставок іноді найкращим планом може бути просто знайти іншого, менш ризикованого постачальника.
Також важливо, щоб ви регулярно запитували своїх третіх сторін за допомогою анкет щодо управління ризиками, щоб визначити, чи належним чином пом’якшено існуючі ризики, і чи з’явилися нові ризики. Незалежно від того, чи використовуєте ви шаблон з однієї з існуючих систем управління ризиками, чи створюєте власний, опитувальники та регулярні запити повинні бути розроблені так, щоб допомогти вам уважно перевірити засоби безпеки, які треті сторони застосовують до своїх робочих процесів.
Будь-які треті сторони з особливо високим рівнем ризику можуть навіть вимагати аудиту, залежно від відповідей, які вони надають у ваших анкетах. У деяких випадках вам може знадобитися відвідати місце, коли це необхідно.
Після того як ви виконаєте наведені вище кроки, вам потрібно буде почати процес заново. Управління ризиками в ланцюжку поставок є постійним процесом для кожної третьої сторони вздовж вашого ланцюга поставок; це процес, який слід повторювати часто протягом усього життєвого циклу стосунків із третьою стороною.
Постійний моніторинг є необхідною практикою, оскільки ваші ділові партнери можуть постійно змінювати свої процеси і змінюють це. Постійне спостереження за змінами у вашому власному бізнесі, мережі постачання, а також змінами в нормативних актах і галузевих стандартах — завдання непросте, але воно необхідне.
У багатьох випадках лише належної обачності недостатньо для кібербезпеки. Постійний моніторинг може обмежити потенційні кібератаки та витік даних як для вашої організації, так і для третіх сторін у ланцюжку поставок.
У певний момент багатьом організаціям доводиться визнати, що вони не можуть самостійно впоратися з усім процесом управління ризиками в ланцюзі поставок. І якщо ви не велике підприємство, управління ризиками може бути дорогим і трудомістким процесом, який багато невеликих компаній просто не можуть дозволити собі зробити всередині компанії.
Для підприємств, які шукають рішення, є програмне забезпечення, яке може допомогти. Програмне забезпечення для належного врядування, управління ризиками та дотримання вимог (GRC) може допомогти вам опанувати програму управління ризиками, зокрема щодо кіберризиків. Завдяки простим і автоматизованим інструментам управління ризиками ланцюга постачання ви зможете покращити свою мережу постачання та зменшити навантаження на внутрішні команди.
Після серйозних збоїв у ланцюжках поставок і кібератак, подібних до тих, що відбулися на SolarWinds і Colonial Pipeline, вашій організації настав час уважніше розглянути свій ланцюг поставок (зокрема постачальників, які мають привілейований доступ до активів вашої компанії) і ризики, які вони становлять. до вашого бізнесу. На щастя, існують рішення безпеки, які покликані допомогти.
Reciprocity ZenRisk — це інтегроване рішення для управління ризиками кібербезпеки, створене для того, щоб надати вам практичну інформацію, щоб отримати видимість, необхідну для того, щоб випереджати загрози та повідомляти про вплив ризику на високопріоритетні бізнес-ініціативи.
Перетворіть невідоме на кількісно виміряну та практичну інформацію про ризики за допомогою вбудованих експертів, які визначають і відображають ризики, загрози та засоби контролю для вас, щоб ви могли витрачати менше часу на налаштування програми та більше часу на її використання. Єдине уявлення про ризики та бізнес-контекст у реальному часі дає вам змогу спілкуватися з правлінням і ключовими зацікавленими сторонами на основі їхніх пріоритетів, зберігаючи свою позицію щодо ризику відповідною до напрямку, який обирає ваш бізнес.
ZenRisk Reciprocity навіть автоматично повідомлятиме вас про будь-які зміни або необхідні дії, тож ви можете контролювати свій ризик як ніколи раніше. Усуньте виснажливу ручну роботу та спростіть співпрацю, автоматизувавши робочі процеси та інтегрувавши їх у найважливіші системи.
Крім того, Reciprocity ZenRisk повністю інтегровано з Reciprocity ZenComply, тож ви можете використовувати свої операції відповідності, щоб покращити свою позицію ризику за допомогою штучного інтелекту.
Пакет продуктів Reciprocity, створений на платформі ROAR від Reciprocity, дає змогу бачити, розуміти та вживати заходів щодо ІТ- та кіберризиків. Тепер, завдяки більш проактивному підходу, ви можете знайти час для своєї команди за допомогою Reciprocity ZenRisk. Поспілкуйтеся з експертом сьогодні, щоб дізнатися більше про те, як набір продуктів Reciprocity може допомогти вашій організації зменшити ризики кібербезпеки та випередити загрози.
