1

Цепочки поставок под угрозой: есть ли выход?

Вопрос, который не дает спать спокойно CISO: как обеспечить надежную кибербезопасность по всей длине цепочки поставок? Череда громких кибератак в этом году только подчеркнула важность этой темы.

Если у вас есть дети, возможно, вам знакома онлайн-игра Among Us. В ней игроки бегают по космической станции и выполняют задания — до тех пор, пока одного из них не убьют. Тогда оставшиеся игроки должны угадать, кто из них на самом деле убийца и сеет хаос. Примерно то же самое сейчас происходит при кибератаках на цепочки поставок. От CloudHopper до SolarWinds, предприятия стали свидетелями того, как мошенничество с электронной почтой и компрометация учетных записей выводят из строя целые системы. Тревожит то, что компании больше не могут полагаться только на свои собственные системы безопасности. Злоумышленникам достаточно пробить защиту кого-то из цепочки поставок, как дверь ко всем остальным в ней открывается.

Тесная взаимосвязь между компаниями, играет только на руку киберпреступникам. Когда компании обмениваются данными и активами, их уязвимости только множатся. Этот процесс можно сравнить с падающими одни за другими костяшками домино.

 

Как действуют преступники?

Основной метод, который используют злоумышленники для атак на цепочки поставок – выдают себя за другого человека. Киберпреступники могут потратить месяцы на слежку за аккаунтами сотрудников в социальных сетях и пресс-релизами компании, чтобы изучить детали цепочки поставок. Далее они определяют, где незаметно могут внедриться, чтобы обманным путем перенаправить счета-фактуры или побудить сотрудников участвовать в фишинговых аферах.

Так как крупные компании все чаще нанимают команды кибербезопасности, которые могут оценить и сдержать риск подобных атак, преступники все чаще нацеливаются на более мелких игроков. Именно небольшие компании могут дать злоумышленникам тот самый заветный ключик от масштабных данных глобальных компаний.

Если 10 лет назад только самые изощренные киберпреступники, обычно спонсируемые враждебными государствами, могли вывести из строя национальную инфраструктуру и глобальный бизнес, то теперь всё изменилось. По данным Национального центра кибербезопасности, отдельные хакеры, осуществляющие атаки с использованием программ-вымогателей, представляют большую опасность для национальной безопасности, чем когда-либо.

 

Реально ли обеспечить надежную кибербезопасность по всей длине цепочки поставок?

Всё возможно, если все компании признают свою общую ответственность за обеспечение кибербезопасности цепочки поставок. Главная задача каждого – обеспечить свою безопасность, чтобы защитить заинтересованные стороны, своих клиентов и покупателей. Однако, по данным исследования DCMS 2021 года, только 12% британских предприятий отметили риск кибербезопасности, исходящий от их поставщиков.

Это отрезвляющая статистика, которая отражает общее пренебрежительное отношение руководителей высшего звена к кибербезопасности. CISO регулярно выражают озабоченность по поводу нехватки ресурсов для адекватной защиты систем компании, не говоря уже об оценке систем поставщиков.

Оценка соответствия требованиям кибербезопасности по всей цепочке поставок, должна быть неотъемлемой частью каждого бизнеса, работающего в сегодняшнем все более онлайновом мире, а к поставщикам необходимо предъявлять хотя бы минимальные требования кибербезопасности.

Факт в том, что самое слабое звено определяет безопасность цепи поставок, и мы не должны об этом забывать.

 

Источник: СomputerWeekly

 

 

Related Posts

card__image

Что такое социальная инженерия?

Социальная инженерия — это искусство манипуляции, влияния или обмана с целью получения контроля над вашей компьютерной системой. Хакер может использовать телефон, электронную почту, почтовую переписку или прямой контакт для получения незаконного доступа. Примерами могут служить фишинг, целевой фишинг и атаки с использованием корпоративной электронной почты. Кто же промышляет социальной инженерией? Это может быть хакер из […]

card__image

ТОП неудачных паролей компаний из списка Fortune 500

Эксперты компании NordPass назвали самые неудачные пароли компаний из списка Fortune 500.   Исследователи проанализировали общедоступные базы скомпрометированных паролей, которые затронули компании из списка Fortune 500. Всего изучили 15 603 438 утечек и сегментировали по 17 индустриям.   «Даже самые крупные игроки борются за безопасность паролей»   Итак, что выяснЯли:   Как часто пароли компаний […]

card__image

Verizon: кибервектор для компаний задан

В 2021 году количество кибератак достигло нового рекордного уровня. Вы спросите, куда же больше, а мы просто пожмем плечами. Согласитесь, страх попасть под горячую руку хакеров действует отчасти парализующе. Руководители понимают, что каждый инцидент требует от компаний времени, денег и ресурсов на восстановление, нанося зачастую непоправимый ущерб репутации бренда и лояльности клиентов. Но как выстоять, […]

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *