De wereldwijde toeleveringsketen beschermen met grenzeloze data

Aanvallen op cyberbeveiliging in de toeleveringsketen zijn niet nieuw, maar ze zijn nog lang niet onder controle.

Uit een recent onderzoek van Resilience 360 ​​bleek dat er in 2019 bijna 300 cyberbeveiligingsincidenten waren die gevolgen hadden voor supply chain-entiteiten. Met het gemiddelde bedrijf dat gegevens deelt met meer dan 500 derde partijen, is het geen wonder dat het Ponemon Institute meldt dat ongeveer 61% van de Amerikaanse bedrijven hebben een datalek binnen hun toeleveringsketens meegemaakt.

Terwijl geopolitieke spanningen een groot deel van die aanvallen veroorzaakten, heeft 2020 plaatsgemaakt voor een perfecte storm van kansen, aangezien COVID-19 een groot deel van de wereldwijde beroepsbevolking heeft gedwongen om op afstand te gaan werken. Organisaties, van overheden tot bedrijven, moeten verantwoordelijkheid nemen voor de bescherming van de gegevens die ze verwerken en delen. Omdat samenwerking zo cruciaal is voor het ondersteunen van innovatie en productiviteit, moet dit gebeuren zonder de stroom van ideeën en informatie te verstikken of systemen en processen onwerkbaar te maken.

Toen COVID-19 de VS in het eerste kwartaal van dit jaar met geweld trof, reageerden organisaties door werknemers bijna van de ene op de andere dag naar thuiswerk te verplaatsen. Vanaf juni 2020 deed maar liefst 42% van de Amerikaanse werknemers zaken op afstand vanuit huis en migrerende kantoren. Met een zeer mobiel personeelsbestand en ecosystemen van leveranciers die steeds complexer en wereldwijd verspreid worden, neemt de bedreiging voor intellectueel eigendom en geclassificeerde of gevoelige informatie toe.

Projectteams gebruiken dagelijks mobiele en cloudplatforms om gegevens te delen en op te slaan, waardoor ze mogelijk worden blootgesteld aan toegang door onbevoegde gebruikers. Het wordt ook fysiek buiten de organisatie vervoerd op smartphones, verwisselbare harde schijven en USB-opslagapparaten die gevoelig zijn voor diefstal en verlies. Binnen deze context overschrijden data voortdurend de grenzen van bedrijven en landen. Er is geen duidelijke perimeter meer om te verdedigen.

Hoewel opzettelijke hacks nu gemeengoed zijn, blijft een van de grootste bedreigingen voor de veiligheid de diefstal, het verlies en het misbruik van gegevens onderweg. Uit onderzoek van Apricorn in 2018 bleek dat 29% van de ondervraagde organisaties een datalek had opgelopen als direct gevolg van mobiel werken. Uit hetzelfde onderzoek uit 2020 blijkt dat meer dan de helft van de respondenten nog steeds gelooft dat telewerkers hun organisatie blootstellen aan het risico van een datalek.

Verder toont recent onderzoek van Digital Guardian een toename van 123% in het volume aan gegevens dat door werknemers naar USB-media is gedownload sinds COVID-19 toesloeg, wat suggereert dat teams verwijderbare opslag gebruiken om grote hoeveelheden gegevens mee naar huis te nemen. Tenzij deze apparaten zijn versleuteld, is het slechts een kwestie van tijd voordat we een piek zien in datalekken die verband houden met de kwetsbaarheid van externe werknemers.

Een datacentrische, op beleid gebaseerde benadering van beveiliging zal de informatie zelf beschermen, zowel binnen als buiten de centrale systemen van een organisatie, zowel onderweg als in rust, terwijl veilige communicatie mogelijk wordt gemaakt. Het antwoord ligt in een meerlagige aanpak die mensen, processen en technologie combineert.

Begin van binnenuit. Beveiliging gaat niet alleen over technologische oplossingen. Training en betrokkenheidsprogramma's voor beveiligingsbewustzijn moeten worden uitgebreid tot teams van partners en aannemers. Uw doel hier is om alle medewerkers bewust te maken van de waarde en risico's van gegevens, en om hun rol bij de bescherming ervan te definiëren en te versterken.

Voer daarnaast best practices voor gegevensbeveiliging in en beheer de handhaving ervan. U kunt uw organisatie een voordeel geven door werkwijzen en beleid te creëren voor de omgang met en de beveiliging van gegevens. Door best practices voor uw team en toeleveringsketen te schetsen en af ​​te dwingen, helpt u een cultuur van verantwoordelijkheid op te bouwen.

Denk aan data in termen van een levenscyclus. Na het creëren van best practices voor het werken met en het beveiligen van gegevens, moeten organisaties een uitgebreide audit uitvoeren, die betrekking heeft op:

• Welke gegevens worden bewaard en met welk doel;
• Wie heeft toegang tot die gegevens;
• Waar stromen de gegevens heen, en
• Hoe het momenteel wordt beheerd.

Dit maakt het gemakkelijker om gebieden van niet-naleving op te sporen, vast te stellen waar gegevens mogelijk onbeschermd zijn en technologieën, beleid en processen te identificeren die de blootstelling aan risico's kunnen minimaliseren.

Dwing de beveiliging af. Stel een strategie op die het documenteren en afdwingen van beleid omvat dat bepaalt hoe gevoelige gegevens worden behandeld en gebruikt, en dat wordt uitgebreid naar alle eindpunten, inclusief partners en contractanten. Versleuteling moet een sleutelelement van de strategie zijn. Als een verwijderbaar media-apparaat in verkeerde handen terechtkomt, wordt versleutelde informatie onbegrijpelijk gemaakt voor iedereen die er toegang toe probeert te krijgen.

Vooral in het "nieuwe normaal" van werken op afstand is het absoluut noodzakelijk dat IT-afdelingen een versleuteld mobiel opslagapparaat onderzoeken, identificeren en verplicht stellen, en het gebruik ervan afdwingen door middel van whitelisting-beleid. Het apparaat moet vooraf configureerbaar zijn om te voldoen aan de beveiligingsvereisten , zoals wachtwoordsterkte.

En omdat we het hebben over de toeleveringsketen, moeten er vereisten worden vastgelegd in contracten van derden, waarin bijvoorbeeld de tools en technologieën worden beschreven die moeten worden gebruikt en wanneer ze moeten worden bijgewerkt. Organisaties kunnen een nog proactievere aanpak hanteren en deze vereisten in het Request for Proposal (RFP)-proces opnemen, zodat verwachtingen worden gewekt voordat een derde partij wordt gekozen.

Meet, monitor en rapporteer. Voor IT- en beveiligingsteams is vooral het gezegde "Je kunt niet beheren wat je niet kunt meten" toepasselijk. De voortdurende controle van de naleving, zowel binnen de organisatie als in de toeleveringsketen, zorgt voor een snelle zichtbaarheid van beleidsschendingen, zodat deze kunnen worden aangepakt door middel van training of disciplinaire procedures. Monitoring biedt ook een gedetailleerd auditspoor waarmee de organisatie haar nalevingspositie kan aantonen, evenals een nauwkeurige registratie van niet-conform gebruikersgedrag.

Een combinatie van technische en organisatorische maatregelen kan de blootstelling aan risico's in de toeleveringsketen helpen verminderen, terwijl we veilige uitwisseling en mobiliteit van informatie mogelijk maken terwijl we vanuit huis blijven werken. Bedrijven die hun gegevens op de juiste manier beheren, kunnen de vertrouwelijkheid, de nationale veiligheid en hun eigen reputatie beschermen zonder afbreuk te doen aan de efficiëntie, wendbaarheid of hun concurrentievoordeel.

De steeds groter wordende supply chain, in combinatie met dramatische veranderingen in hoe en waar we werken, betekent dat organisaties zich voortdurend moeten concentreren op beveiliging van derden. Door een strategisch plan voor gegevensbeveiliging op te stellen dat gaandeweg audits en maatregelen uitvoert, met de nadruk op het bewustzijn en de training van medewerkers, kunnen we onze toeleveringsketens beveiligen, ondanks de eliminatie van fysieke grenzen.

Jon Fielding is directeur bij Apricorn , een fabrikant van hardware-gecodeerde USB-gegevensopslagapparaten.