Een 10-puntengids voor het opzetten van supply chain-cyberbeveiliging

Naarmate wereldwijde toeleveringsketens steeds digitaler worden, worden bedrijven blootgesteld aan risico's uit talloze indirecte bronnen. Een systeem is zo sterk als de zwakste schakel, en hackers zullen nauwgezet jagen om een ​​kwetsbaar onderdeel te ontdekken.

Aan deze exploitatie hangt een hoge prijs. Volgens IBM's Security Cost of Data Breach Report zijn $ 5,52 miljoen de gemiddelde totale kosten van een inbreuk voor ondernemingen met meer dan 25.000 werknemers en $ 2,64 miljoen voor organisaties met minder dan 500 werknemers. De meeste bedrijven betalen hackers het losgeld dat ze eisen. Deze zomer betaalden Colonial Pipeline Co. en JBS SA hackers respectievelijk $ 4,4 miljoen en $ 11 miljoen om versleutelde gegevens te herstellen na massale cyberaanvallen.

Andere gevolgen zijn onder meer verstoorde klantenservice, ondermijnd vertrouwen en verlies van concurrentievoordeel.

Cybercriminelen ontwijken barrières en identificeren zwakke punten om toeleveringsketens effectiever dan ooit te exploiteren. In het geval van Colonial Pipeline maakten hackers misbruik van een verouderd VPN-profiel (Virtual Private Network) waarvoor alleen single-factor authenticatie nodig was.

Aanvallen verlammen niet alleen bedrijven, maar kwetsen ook klanten. Tachtig procent van de inbreuken betreft persoonlijk identificeerbare informatie (PII). Hackers gebruiken PII en wachtwoorden om toegang te krijgen tot de verschillende accounts van een persoon op internet. Bovendien heeft elke onderbreking in een toeleveringsketen - of het nu uw bedrijf is of externe of externe leveranciers - een impact op de productie van goederen en diensten en drijft het ook de prijzen op.

In het CrowdStrike Security Report, een onderzoek onder meer dan 1.000 deelnemers, onthulde tweederde van de senior IT-besluitvormers en cyberbeveiligingsprofessionals dat hun organisaties te maken hebben gehad met een aanval op de softwaretoeleveringsketen. Hetzelfde aantal bekende dat hun bedrijf niet voldoende voorbereid is om zich te verdedigen tegen een toekomstige inbreuk. Bedrijven moeten proactief zijn en zich richten op het opbouwen van cyberweerbaarheid om uitbuiting te voorkomen.

Het National Institute of Standards and Technology (NIST), onderdeel van het Amerikaanse ministerie van Handel, beveelt de volgende stappen aan om IT-middelen goed te beveiligen.

Identificatie

Lokaliseer potentiële bedreigingsvectoren - routes die kwaadwillende aanvallen kunnen nemen om voorbij uw verdediging te komen en uw netwerk te infecteren - door interne risico- en kwetsbaarheidsbeoordelingen uit te voeren. Overweeg een bedrijf in te huren om een ​​geavanceerde beoordeling uit te voeren.

Bescherming

Neem de nodige maatregelen om uw organisatie te beschermen en bedreigingsgebeurtenissen te voorkomen:

• Belichtingsreductie. Naast de basisbescherming die wordt geboden door firewalls en antivirussoftware, is het van vitaal belang om procedures voor geprivilegieerde toegang in te stellen. Volg het principe van de minste privileges:alleen werknemers die toegang tot gevoelige gegevens nodig hebben, hebben toegang.

Tools zoals gedragsanalyse, eindpuntdetectie en -respons (EDR), kunstmatige intelligentie (AI) en bedreigingsinformatie kunnen de verdediging versterken. Bedrijven moeten veilige coderingspraktijken toepassen en verwijzen naar de Open Web Application Security Project (OWASP) Top Ten Web Application Security Risks.

• Betrokkenheid en training van medewerkers. Werknemers zijn de laatste verdedigingslinie op het gebied van cyberbeveiliging en een van de meest voorkomende bedreigingsvectoren. Het is van cruciaal belang om elke medewerker erbij te betrekken; de executive suite is niet vrijgesteld. Zorg voor een cultuur van gezond wantrouwen onder medewerkers. Deze benadering lijkt misschien overdreven paranoïde, maar de inzet kan hoog zijn.

Geef bewustmakingstrainingen en interne phishing-campagnes om werknemers bloot te stellen aan de nieuwste spam- en social engineering-technieken. Elke werknemer die in een phishing-campagne trapt, moet onmiddellijk een opleiding volgen. Zorg voor een sterke wachtwoordcultuur waarin medewerkers verschillende en veilige wachtwoorden hebben. Zorg ervoor dat ze begrijpen dat als een wachtwoord op één plek wordt geschonden, het voor hackers mogelijk en relatief eenvoudig is om het te gebruiken op andere accounts die aan hetzelfde e-mailadres zijn gekoppeld.

Er zijn talloze handige (en gratis) cyberbeveiligingsbronnen beschikbaar om het leren van werknemers aan te vullen en werknemers op de hoogte te houden van de nieuwste trends in de sector, zoals de virtuele trainingsmodules die worden aangeboden door het Amerikaanse ministerie van Binnenlandse Zaken Beveiliging.

• Verzekering. Zorg voor een adequate verzekering in geval van een aanslag. Sommige verzekeraars bieden bescherming tegen ransomware. Informeer naar welke dingen niet worden gedekt door een cyberaanval.
• Fysieke beveiliging . Bescherm personeel, hardware, software, netwerken en gegevens tegen fysieke inbraak en acties. Overweeg oplossingen zoals bewakingscamera's, bewakers, beveiligingssystemen, slagbomen, sloten, toegangskaarten, brandalarmen, sprinklers en andere systemen die zijn ontworpen om werknemers en eigendommen te beschermen.

Pas op voor meeliften. De deur openhouden voor iemand die met volle handen het kantoor binnenloopt, lijkt misschien beleefd, maar het vormt een veiligheidsrisico. Zorg ervoor dat iedereen die het bedrijfsterrein betreedt geautoriseerd personeel is.

• Selectieve zakelijke relaties . Cyberaanvallen via leveranciersnetwerken komen steeds vaker voor. Volgens de 2020 Cyber ​​Resilient Organization Study van het Ponemon Institute meldt 56% van de organisaties dat ze te maken hebben gehad met een cyberbeveiligingsinbreuk veroorzaakt door een externe leverancier. Wees bij het bepalen van een acceptabel risiconiveau selectief bij het kiezen van aannemers of partners om met uw bedrijf samen te werken.
• Incidentrapportage . Zorg voor een goede cultuur en opleiding voor het melden van incidenten. IT-professionals zijn beter in staat potentiële schade te beperken als ze er eerder van op de hoogte zijn.

Detecteren

Er wordt wel eens gezegd dat een huis zonder rookmelders hetzelfde is als een netwerk zonder bewaking. Continue monitoring van beveiligingsgebeurtenissen moet fysieke omgevingen, netwerken, serviceproviders en gebruikersactiviteit omvatten. Kwetsbaarheidsscans zijn een geweldig hulpmiddel en moeten regelmatig worden uitgevoerd op systemen die gevoelige informatie bevatten.

Reactie en herstel

Er is een verband tussen responstijd en de kosten van een aanval. Industrieën die er het langst over doen om te detecteren, te reageren, te reageren en te saneren, hebben de hoogste kosten. Een snelle reactie kan de impact helpen verminderen. Toch kan het de mogelijkheid niet uitsluiten, dus er ligt altijd de nadruk op preventie.

Een noodherstelplan is van cruciaal belang voor het herstellen van gegevenstoegang en IT-infrastructuur na een ramp. Herstel hangt af van de omvang van de schade.

Breng voor alle mogelijke incidentscenario's een responsplan en een herstelplan in kaart in de vorm van een bedrijfscontinuïteitsplan. Neem tactieken op die het bedrijf operationeel houden tijdens een ramp. Bepaal de leverancierskritiek en een handelswijze als belangrijke leveranciers worden aangevallen. Schakel back-upleveranciers en back-ups in voor uw back-ups voor het geval u naar een andere provider moet overstappen om klanten tegemoet te komen.

Als onderdeel van een effectief rampherstelplan wordt aanbevolen om minimaal één keer per jaar een cybersecurity-inbreuk te simuleren. Door middel van deze oefeningen begrijpt het relevante personeel hun rol en de te volgen procedures.

Cyberbeveiliging zal een prominent obstakel vormen voor bedrijven van elke omvang naarmate toeleveringsketens complexer worden. Identificeer zwakke schakels in de toeleveringsketen om ervoor te zorgen dat kwetsbaarheden worden geminimaliseerd en om bedreigingen te voorkomen. Door cyberweerbaarheid op te bouwen, bereidt u uw bedrijf voor op een worstcasescenario dat anders duurder en schadelijker zou zijn.

Marc Lewis is hoofd informatiebeveiliging bij Visible Supply Chain Management.