Jak zarządzać dostawcami, aby zwiększyć bezpieczeństwo

12 kwietnia 2023

Niedawny atak ransomware na usługę hostingu w chmurze iNSYNQ podkreśla niezbędny element cyberbezpieczeństwa, który jest często pomijany: zarządzanie dostawcami.

W momencie ataku, iNSYNQ szybko zastosował się do protokołów i wyłączył serwery, aby powstrzymać infekcję złośliwym oprogramowaniem przed rozprzestrzenianiem się. Ale szkody zostały już wyrządzone i wyłączenie serwerów uniemożliwiło klientom dostęp do ich danych księgowych w bardzo popularnych usługach, takich jak Intuit QuickBooks.

Jak pokazał atak CCH na początku tego roku, to nie jest kwestia czy, ale kiedy firma zostanie zaatakowana, a biura rachunkowe coraz częściej stają się pożądanym celem do wykorzystania przez cyberprzestępców. Sprzedawcy odgrywają kluczową rolę w pomaganiu firmom w osiągnięciu wydajności i sukcesu w dzisiejszej gospodarce.

Ponieważ coraz bardziej się na nich polega, firmy ponoszą coraz większą odpowiedzialność za ustanowienie skutecznych protokołów zapewniających sprzedawcom ochronę ich interesów w przypadku udzielenia dostępu. Jeśli hakerzy wejdą do systemu strony trzeciej, mogą wykorzystać skradzione informacje i dane uwierzytelniające, aby przejść do systemu Twojej firmy.

Poprawa profilu ryzyka

Oprócz stosowania dobrych praktyk w zakresie bezpieczeństwa cybernetycznego, jeśli chcesz poprawić swój profil ryzyka cybernetycznego podczas współpracy z dostawcami, powinieneś rozważyć następujące kwestie:

1. Wbudowanie wymogów bezpieczeństwa w umowy. Zespół prawny firmy powinien współpracować z działem IT podczas sporządzania nowej umowy z dostawcą, aby jasno określić oczekiwania dotyczące polityki i procedur bezpieczeństwa. Konkretne protokoły, które powinny być zapisane w umowach z dostawcami, obejmują politykę bezpieczeństwa firmy, kontrolę dostępu, okresowe audyty, reagowanie na incydenty oraz podział ryzyka w przypadku naruszenia.

2. Poznaj swoje zasoby. Przeprowadzenie dogłębnej inwentaryzacji danych jest niezbędne dla firm, które pozwalają swoim sprzedawcom na utrzymywanie danych klientów, takich jak Intuit QuickBooks. Inwentarz ten powinien analizować każdego sprzedawcę, z którym firma prowadzi interesy i określać rodzaje danych, do których sprzedawca uzyskał dostęp.

3. Wymagajzapewnienia cyberbezpieczeństwa. Obecne raporty SOC (Systems and Organization Controls) 1 i 2 nie określają metod zapewnienia lub wglądu w program zarządzania ryzykiem bezpieczeństwa dostawcy. Istnieje jednak nowa struktura raportów SOC - SOC for Cybersecurity - która w szczególności kontroluje zarządzanie ryzykiem cybernetycznym. Należy zażądać od dostawców przeprowadzenia audytu SOC for Cybersecurity co roku lub w przypadku znaczących zmian w środowisku cybernetycznym dostawcy, oprócz corocznych testów penetracyjnych.

4. Zaplanuj przeglądy dostępu i bezpieczeństwa. Każda firma powinna codziennie przeprowadzać przeglądy dostępu i bezpieczeństwa i to samo dotyczy sprzedawców mających dostęp do systemu firmy. Jeśli sprzedawca ma prawo do zdalnego dostępu do sieci firmowej lub aplikacji w dowolnym momencie, należy wprowadzić kontrole audytowe w celu regularnego monitorowania logów VPN w połączeniu z przeglądem logów aktywności sieci i aplikacji. Jako najlepszą praktykę, kierownictwo powinno rozważyć wyłączenie kont dostawców dla aplikacji zdalnego dostępu do czasu, gdy potrzebne będzie wsparcie.

Wnioski

Ataki CCH i iNSYNQ podkreślają, że każde naruszenie jest pilne. Ty, Twój personel i Twoi klienci niewątpliwie muszą polegać na dostawcach w różnych obszarach, co doprowadziło do dzielenia się danymi w systemach i usługach w całej cyberprzestrzeni. Naruszenie którejkolwiek z tych usług stanowi zagrożenie dla Twoich klientów, a nawet Twojej firmy.

Podjęcie kroków już dziś, aby zająć się ryzykiem cybernetycznym związanym z dostawcami pomoże złagodzić narażenie Twojej organizacji - i zmniejszyć ryzyko bycia następnym nagłówkiem.