Birçok kuruluş, artan olaylara ve NIS2, SEC Kuralları ve Dora gibi yeni düzenlemelere rağmen ciddi güvenlik açıkları bırakarak dijital tedarik zincirlerinde görünürlükten yoksundur. Çoğu şirket kiminle sözleşme imzaladıklarını bilecek. Ancak, hassas verileri işleyen her yazılım bağımlılığı, API entegrasyonu, bulut platformu veya açık kaynak kütüphanesinin tam bir listesini isteyin ve siz sessizlikle karşılanıyorsunuz. Bu sessizlik tehlikeli ve gereken gayret ve siber hijyen kontrolünün eksikliğine işaret ediyor.
Çünkü bugünün tedarik zinciri artık doğrusal bir satıcı dizisi değil; Bu, hizmetlerin, platformların ve gizli bağımlılıkların genişleyen ve karmaşık bir ekosistemidir. Bu bağlantılardan biri kırıldığında, hasar güvenlik duvarında durmaz. Solarwinds, Moveit, Log4J ve hatta Crowdstrike yanlış konfigürasyon kesintisinden yakalananlara sorun. Her durumda, tek bir uzlaşma veya yanlış yapılandırma dışa doğru dalgalandı ve tedarik zinciri güvenlik açıklarının uygun görünürlüğüne sahip olmayan binlerce aşağı akış işletmesini etkiledi. Tedarikçilerinize güvenmek bir şeydir, riske maruz kalmanızı, potansiyel etkinizi ve esnekliğinizi bilmek tamamen farklıdır.
Bu güvenlik veya konfigürasyon olaylarının yüksek profilli doğasına rağmen, birçok kurul hala tedarik zinciri siber riskini hafife almaktadır veya daha da kötüsü, zaten kontrol altında olduğunu veya sadece sözleşmeye bağlı SLA’lar tarafından yönetilebileceğini varsaymaktadır. Yine de bir suçlama oyunu değil. Bu gönül rahatlığı ile ilgili değil, sadece kör bir nokta ve orada geleneksel risk modelleri modern karmaşıklıklar için tasarlanmamıştı. Çoğu kuruluş hala üçüncü taraf güvenliğini, gerçekte olduğundan ziyade bir tedarik onay kutusu veya yıllık denetim tatbikatı olarak ele alıyor: canlı, dinamik bir saldırı yüzeyi. Ne ki Şikayet, bunun Cisos’un sessizce düzeltebileceği küçük bir teknik zorluk olduğunu düşünüyor. Aksine, iş sürekliliği, müşteri güveni ve düzenleyici uyum için stratejik bir tehdittir, ancak iyi yönetildiğinde, bir iş farklılaştırıcısı olabilir.
Tedarikçi ekosistemi düşündüğünüzden çok daha büyük
Siber güvenlikte, “tedarikçi” terimi sözleşmeyi aşmıştır. Şimdi güvendiğiniz SaaS platformlarını, sahne arkasında çalışan bulut altyapısı, yazılımınıza gömülü açık kaynak kodunu ve üçüncü taraf satıcılarınızı destekleyen dördüncü partili satıcıları içerir. Dijital bir velayet zinciridir ve bu zincirdeki her bağlantı potansiyel bir maruz kalma noktasıdır. Sorun şu ki, çok az kuruluşun tedarikçi ekosistemini gerçek bir anlayışa sahip olması veya tedarik zincirini tam olarak haritalamasıdır. Buzdağının işaretini imzalı anlaşmalar ve durum tespiti e -tabloları gibi görüyorlar, ancak yüzeyin hemen altında gizlenen bağımlılıklar değil.
Bu genellikle geleneksel üçüncü taraf risk programlarının yetersiz kaldığı yerdir. Yakınlığa değil, tedariklere odaklanıyorlar. Risk genellikle kimden satın aldığınız ve sistemlere, verilere veya müşteri bilgilerine erişimi yerine işlemlerin değeri açısından ölçülür. Ve yine de, saldırganların sömürdüğü bu gizli bağımlılıklar. Bir pazarlama aracında tehlikeye atılmış bir API; yaygın olarak kullanılan bir açık kaynak kütüphanesinde bir güvenlik açığı; Müşteri verilerini maruz bırakan bir bulut sağlayıcısı yanlış yapılandırma. Bunlar tekrar eden manşetler. Ekosisteminizin tam dijital patlama yarıçapını göremiyorsanız, onu güvence altına alamazsınız. Ve bu riski iş açısından açıklayamıyorsanız, onu yönetmek için gereken desteği alamazsınız.
Yönetim kurulu hala ne görmüyor
Çoğu kurul için, üçüncü taraf riski şirket çapında bir endişe yerine CISO’nun sorumluluğu olarak görülmektedir. Bu umursamadıkları için değil; Çünkü hiç kimse teknik karmaşıklığı “etki” ya da ilişki kurabilecekleri sonuçlara çevirmemiştir. Tahtalar, hangi sistemlerde açık kaynaklı bileşenlerin kullanıldığı satıcıların bir listesine veya bir yıkımına ihtiyaç duymazlar. Bunlardan biri başarısız olursa ne olacağını bilmeleri gerekir. Potansiyel serpinti ve etki nedir? Kaç müşterinin etkilenmesi muhtemeldir? Kesinti, güven veya uyumluluk maruziyeti açısından maliyet ne olacak? Bu cevaplar açık olana kadar, ekosistem riski soyut kalır ve tahtalara adil olmak için “soyut” önceliklendirilmesi zordur.
Yani, güvenlik ekipleri bir duvara çarptı. Teknik eşlemeyi yaptılar, endişeleri işaretlediler ve değerlendirmeleri yürüttüler, ancak mesaj hala inmiyor. Neden? Çünkü BT departmanından ayrıldığından beri değişmeyen dile sarılmış. Tedarik zinciri riskinin tahta düzeyinde yankılanması için bir hikaye. Bir “ne olursa olsun” senaryosu, işletmenin gerçek operasyonlarına dayandırıldı. Faturalandırma sisteminizi destekleyen küçük satıcı ihlal edilirse ne olur? Analytics boru hattınızı çalıştıran bulut sağlayıcısının kesinti varsa ne olur? Ürününüze bağlı kod kütüphanesi sıfır gün ile vurulursa ne olur? Bunlar, tedarik zinciri güvenliğini “sahip olmak güzel” sütununa ve bütçe sütununa taşıyan konuşmalardır.
Sınırsız düzenleme
Üçüncü taraf riski artık bir yönetişim meselesidir. NIS2 ve DORA gibi çerçeveler altında, kuruluşlar dijital tedarik zincirlerinin siber güvenlik duruşundan doğrudan sorumlu tutuluyor. Buna tedarikçiler, servis sağlayıcıları ve bazı durumlarda dördüncü tarafları içerir. Yıllık bir değerlendirme yapmak ve dosyalamak yeterli değildir. Bu düzenlemeler sürekli gözetim, gösterilebilir durum tespiti ve en önemlisi, riske maruz kalmayı zamanında, şeffaf bir şekilde iletme yeteneği gerektirir. Uyumsuzluk için finansal cezalar ağırdır. Dora için, hangisinin daha yüksek olduğuna bağlı olarak yıllık cironun 10 milyon € veya% 2’sine kadar. Ancak itibar maliyeti de yüksek.
Ama işte işler biraz zorlaşıyor: Düzenleyici manzara tek tip değil. Küresel kuruluşlar, SEC’in ABD’deki siber ifşa kurallarından AB’deki GDPR uygulamalarına ve Asya-Pasifik’teki bölgeye özgü görevlere kadar bir yükümlülük patchwork’ü yönlendirmelidir. Her bölge için bir e -tablo veya yılda bir denetim kesmeyecek. Akıllı hareket, sadece mektup değil, bu düzenlemelerin ruhuna hizalanan birleşik bir risk duruşu oluşturmaktır. Etki ile Başlayın: Hangi tedarikçiler tehlikeye girerse işinizi bozabilir? Hangi bağımlılıklar müşteri verilerini veya operasyonel sürekliliği ortaya çıkarır? Bu soruları güvenle cevaplayabiliyorsanız, uyumluluk bir kutu-çentik egzersizinden ziyade doğal bir yan ürün haline gelir.
Görünürlük bir lüksdü. Şimdi genişleyen bir dijital ekonomide güvenlik, kontrol ve sürekliliğin temeli.
Tim Grieveson, ThingsRecon’un baş güvenlik görevlisidir.