Atak na łańcuch dostaw: awaria u dostawcy, straty u Ciebie - jak ograniczyć ryzyko
Awaria u zewnętrznego dostawcy może sparaliżować Twoją firmę, nawet jeśli masz doskonale zabezpieczone systemy. Współczesny biznes opiera się na sieci partnerów, więc bezpieczeństwo całego łańcucha dostaw staje się Twoją odpowiedzialnością. Dowiedz się, jak skutecznie ograniczyć ryzyko.
Dlaczego bezpieczeństwo dostawcy to Twój problem?
Podczas ataku na łańcuch dostaw cyberprzestępcy nie celują bezpośrednio w Twoją firmę, ale w jednego z Twoich zaufanych partnerów. Wykorzystują jego słabsze zabezpieczenia, aby dostać się do Twoich danych, systemów lub zasobów.
Wyobraź sobie, że firma świadcząca dla Ciebie usługi księgowe pada ofiarą ataku ransomware. Nagle wszystkie Twoje dane finansowe zostają zaszyfrowane, a Ty tracisz do nich dostęp. Co gorsza, przestępcy mogą wykorzystać zdobyte informacje i dostępy, aby zinfiltrować Twoją własną infrastrukturę.
Dla cyberprzestępców jest to znacznie prostsza droga niż próba bezpośredniego złamania Twoich zabezpieczeń, które mogą być na wysokim poziomie. Wykorzystują zaufanie, jakim darzysz swoich partnerów biznesowych, traktując ich jako „tylną furtkę" do Twojej organizacji. To dlatego takie działania należą do jednych z najczęstszych rodzajów ataków na firmy - są po prostu bardziej efektywne.
Jak ocenić ryzyko u partnera?
Zanim podpiszesz umowę z partnerem biznesowym, sprawdź jego podejście do cyberbezpieczeństwa. Zamiast polegać na ogólnych deklaracjach, zapytaj o konkretne dowody: czy firma ma odpowiednie certyfikaty takie jak ISO/IEC 27001, czy regularnie przeprowadza zewnętrzne audyty bezpieczeństwa i czy zgadza się na zapisy o odpowiedzialności za incydenty w umowie SLA. Profesjonalny partner bez problemu przedstawi Ci swoją politykę bezpieczeństwa i udokumentowane procedury.
Warto zacząć od zadania kilku pytań - choćby w jaki sposób chronią dane swoich klientów przed nieautoryzowanym dostępem, czy stosują szyfrowanie danych w spoczynku i w tranzycie. Dowiedz się też, jakie mają procedury tworzenia kopii zapasowych, jak często je wykonują i, co ważniejsze, jak często testują ich odtwarzanie. Do tego upewnij się, że ich pracownicy obowiązkowo używają uwierzytelniania wieloskładnikowego (MFA) do systemów wewnętrznych.
Zapytaj też, czy firma regularnie przechodzi zewnętrzne audyty bezpieczeństwa lub testy penetracyjne i czy może udostępnić ich wyniki (lub chociaż streszczenie). Na koniec, sprawdź, jaki jest zadeklarowany czas reakcji (SLA) na wykryty incydent bezpieczeństwa. Jeśli dostawca unika odpowiedzi lub jego wyjaśnienia są mętne, jest to poważny sygnał ostrzegawczy.
Aby mieć pełen obraz sytuacji, skorzystaj z usług takich jak rekonesans bezpieczeństwa czy skanowanie podatności, które są częścią monitoringu w ramach Security Operations Center.
Umowa, która chroni - co powinno się w niej znaleźć?
Dobra umowa to Twoja polisa ubezpieczeniowa na wypadek problemów. I tak je traktuj - jako narzędzie do egzekwowania standardów bezpieczeństwa. Powinna ona zobowiązywać dostawcę do stosowania konkretnych środków ochrony takich jak uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich kont z dostępem do Twoich zasobów oraz regularne tworzenie kopii zapasowych w odizolowanej lokalizacji.
Upewnij się, że umowa zawiera jasno zdefiniowane czasy reakcji (SLA) na zgłoszenie i rozwiązanie incydentu bezpieczeństwa, z podziałem na różne poziomy krytyczności. Niezbędne jest także zagwarantowanie sobie prawa do przeprowadzenia okresowego audytu bezpieczeństwa, samodzielnie lub przez wyznaczoną firmę trzecią.
Bardzo ważny jest również zapis nakładający na dostawcę obowiązek natychmiastowego informowania o każdym naruszeniu bezpieczeństwa, które może dotyczyć Twoich danych lub usług. Bez solidnych zapisów umownych trudno mówić o bezpiecznej współpracy, o czym więcej przeczytasz w artykule o tym, jak wybrać i zweryfikować dostawcę.
Plan B, czyli co zrobić, gdy dostawca zawiedzie?
Nawet najlepsza weryfikacja i najsolidniejsza umowa nie dają stuprocentowej ochrony. Dlatego każda dojrzała organizacja powinna mieć przygotowany plan awaryjny na wypadek, gdyby najważniejszy dostawca nagle przestał działać. Nie musi on być skomplikowany, ale powinien jasno określać kolejne kroki do podjęcia w sytuacji kryzysowej.
Stwórz listę dostawców, od których zależy działanie Twojej firmy, i obok nazwy każdego dopisz potencjalnego zastępcę - rezerwowego podwykonawcę lub alternatywne rozwiązanie. Pozwoli to działać bez przestojów w razie awarii. Przygotuj również scenariusz, który umożliwi Ci szybkie odizolowanie systemów dostawcy od Twojej infrastruktury, aby w razie ataku zagrożenie się nie rozprzestrzeniło. Na koniec ustal jasny plan komunikacji: kogo i w jakiej kolejności informować o problemie, zarówno wewnątrz firmy, jak i na zewnątrz.
Bezpieczeństwo Twojej firmy zależy od tego, jak dobrze kontrolujesz swoich partnerów. Dlatego regularnie sprawdzaj ich zabezpieczenia i zawsze bądź gotów na scenariusz, w którym jeden z nich zawiedzie.
