سلاسل التوريد هي ملعب محتمل للقراصنة.
نظرًا للتعقيد والاعتماد المتأصل على الشركاء، فإن سلاسل التوريد مليئة بمخاطر وتحديات الأمن السيبراني. يجب على CISOs وCIOs التخلي عن فكرة أن المشاكل الأمنية لشركاء سلسلة التوريد لن تؤثر على شركاتهم واتخاذ الإجراءات اللازمة لحماية أمن سلسلة التوريد الخاصة بشركتهم.
العديد من القمة المخاطر الأمنية على سلاسل التوريد هي أساليب محددة يستخدمها المهاجمون، مثل الهندسة الاجتماعية وبرامج الفدية وبيانات اعتماد تسجيل الدخول المسروقة والبرامج المخترقة. ومع ذلك، فإن إهمال قادة الأمن، بما في ذلك إهمال اختبار النظام، يمثل أيضًا مشكلة أمنية كبيرة لسلاسل التوريد الخاصة بالعديد من الشركات. ويجب على القادة معالجة القضايا الأمنية وعدم الاكتفاء بافتراض أن جهودهم الأمنية تعمل على النحو المنشود.
تعلم المزيد عن القمة مخاطر الأمن السيبراني لسلسلة التوريد وكيفية معالجتها.
أعلى 5 مخاطر للأمن السيبراني لسلسلة التوريد
يمكن أن تأتي هجمات سلسلة التوريد بأشكال عديدة، ولكن هذه هي المخاطر التي يجب أن يهتم بها قادة الأمن السيبراني أكثر من غيرها. يمكن أن تتأثر الشركات وشركاء سلسلة التوريد بهذه المشكلات، مما قد يخلق مشكلات كبيرة في سلسلة التوريد بسبب البيانات المشتركة للشركاء.
فيما يلي أهم المخاطر التي يجب أن يكون قادة الأمن على دراية بها.
1. الهندسة الاجتماعية
هندسة اجتماعية يمكن القول إنها واحدة من أسهل عمليات الاستغلال التي يقوم بها المهاجمون.
يقنع المهاجمون المستخدمين بتقديم بيانات اعتماد تسجيل الدخول الخاصة بهم، مما يسهل تثبيت البرامج الضارة أو الوصول إلى المعلومات الحساسة. يمكن أن تتم هجمات الهندسة الاجتماعية عبر التصيد الاحتيالي، التصيد الاحتياليأو الاتصال الشخصي أو وسائل التواصل الاجتماعي.
تحاول الشركات في كثير من الأحيان معالجة هذا التهديد من خلال التثقيف الأمني للمستخدم، لكن الموظفين لا يزالون يقعون في كثير من الأحيان ضحية لهذه التكتيكات، مما يجعلها خطرًا كبيرًا على سلسلة التوريد.
2. بيانات اعتماد تسجيل الدخول المسروقة
يمكن للمجرمين شن هجمات بمجرد حصولهم على بيانات اعتماد تسجيل الدخول لمجال الشبكة والتطبيقات وقواعد البيانات من أولئك الذين لديهم حق الوصول.
يمكن أن يحدث الكشف عن بيانات اعتماد تسجيل الدخول بعدة طرق. يمكن أن تؤدي الهندسة الاجتماعية، وخاصة التصيد الاحتيالي، إلى قيام المستخدمين بتسليم بيانات اعتماد تسجيل الدخول الخاصة بهم، ويمكن للبرامج الضارة، المعروفة أيضًا باسم Keyloggers، تتبع ضغطات المفاتيح التي يتم إجراؤها على جهاز الكمبيوتر والاستيلاء على كلمات المرور بهذه الطريقة.
يمكن للمهاجمين أيضًا البحث في شبكة الويب العميقة عن بيانات اعتماد تسجيل الدخول المكشوفة لشركة معينة. وفي بعض الحالات، يكونون قادرين على الكشف عن أزواج بيانات الاعتماد الكاملة التي تسمح بالوصول الكامل إلى الأنظمة عبر إمكانات تسجيل الدخول الموحد بالإضافة إلى أي شيء مرتبط بهذه الأنظمة.
3. البرمجيات المخترقة
غالبًا ما يقوم المهاجمون بحقن تعليمات برمجية ضارة في مكتبات برامج الجهات الخارجية المدمجة في بيئة سلسلة التوريد الخاصة بالمورد. عند حدوث هذه المشكلات، تصبح نقاط الضعف لدى الجهات الخارجية هي نقاط الضعف لدى شركائها أيضًا.
يمكن أن تتم هذه التنازلات البرمجية بطرق مختلفة. على سبيل المثال، قد ينشر المستخدم مفتاحًا سريًا للتشفير عبر الإنترنت، أو قد يقوم المهاجمون بتحميل تعليمات برمجية ضارة إلى المستودعات العامة.
يمكن أن تأتي البرامج المخترقة أيضًا في شكل قيام المستخدمين بوضع تعليمات برمجية ضعيفة عن غير قصد في الإنتاج، مما يؤدي إلى ظهور ثغرات أمنية مثل حقن SQL، مما قد يسهل الهجمات بشكل أكبر.
4. عدم وجود مراقبة وصيانة للنظام
بعض أكبر العوامل التي تسهل هجمات سلسلة التوريد هي الاختبارات الأمنية غير الصحيحة، وضعف إدارة الثغرات الأمنية والتصحيحات، وإعادة استخدام الحساب، وهو ما يتعلق بالموظفين باستخدام بيانات اعتماد تسجيل الدخول التجارية الخاصة بهم للمواقع الشخصية.
من الصعب للغاية أيضًا التحكم في هذه الجوانب الأمنية في المؤسسة. يجب على قادة الأمن السيبراني الاعتراف بهذه الثغرات في برنامج الأمان الخاص بشركتهم ومعالجتها بشكل صحيح، بما في ذلك تثقيف المستخدمين حولها مخاطر إعادة استخدام كلمات المرور وتنفيذ اختبارات منتظمة.
5. برامج الفدية
يمكن القول إن برامج الفدية هي أسوأ تهديد لسلسلة التوريد.
متى تعمل برامج الفدية على تأمين الأنظمة المهمةفهو يوقف المعاملات التجارية ويعرض أي ملفات وقواعد بيانات مرتبطة بها للخطر. يمكن أن تشمل تأثيرات التموج فقدان المعلومات بسبب نقص النسخ الاحتياطية أو التعرض الكامل لبيانات الشركة بسبب قيام المجرمين بسرقة المعلومات من الشبكة ومشاركتها عبر الإنترنت.
يمكن أن تؤدي هذه التأثيرات المتموجة إلى الإضرار بجميع الأعمال التجارية النهائية.
3 طرق لمعالجة مخاطر الأمن السيبراني لسلسلة التوريد
يمكن أن تساعد هذه الخطوات قادة الأمن السيبراني على تحديد مخاطر الطرف الثالث في شركاتهم وبناء مرونة أعمالهم.
1. تحديد كيفية تأثير مخاطر الطرف الثالث على عمليات الشركة
مطلوب المزيد من اليقظة من جانب البائعين وشركاء الأعمال، وهو ما يفترضه القادة عادةً أن المخاطر الأمنية طرف ثالث هي فقط مشكلة ذلك الشريك، وهذا غير صحيح.
لا يمكن للشركة أن تفعل الكثير بشأن نقاط الضعف الأمنية لموردي سلسلة التوريد التابعة لجهات خارجية، حيث لا يستطيع القادة إجبار البائعين على إجراء تغييرات. يمكن للقادة أن يقرروا التوقف عن التعامل مع البائع بسبب افتقارهم إلى الأمان، ولكن هذا القرار قد لا يكون ممكنًا إذا كان البائع مناسبًا للأعمال التجارية لأسباب أخرى. على سبيل المثال، قد يكون البائع هو المورد الوحيد لجزء معين من الآلة في المنطقة المحيطة.
أفضل مسار للعمل هو الاعتراف بالمشكلات الأمنية للشركاء مع بناء مرونة الشركة التشغيلية والشبكية والأفراد بحيث يكون التأثير في أدنى حد ممكن إذا كان يواجه البائع حادثًا أمنيًا. يمكن لأدوات مثل الاستبيانات الأمنية واللغة التعاقدية أن تقلل من مخاطر الطرف الثالث، ولكن لا يزال يتعين على قادة الأمن الاستعداد للهجمات على شركاء شركاتهم.
يجب على قادة الأمن إجراء تمارين الطاولة مع أصحاب المصلحة التنظيميين الذين يتعاملون مع سيناريوهات مثل انقطاع شبكة بائع معين عن الاتصال بالإنترنت أو الكشف عن معلومات الشركة. يعد التخطيط أمرًا أساسيًا حتى يكون القادة جاهزين عند حدوث سيناريوهات العالم الحقيقي.
2. إجراء التقييمات الأمنية
الفشل بشكل صحيح إجراء التقييمات الأمنية هي قضية مشتركة، بغض النظر عن حجم المنظمة. يجب على قادة الأمن السيبراني العمل على مواجهة هذه التحديات قبل حدوث الأزمة ويكون الجميع في وضع رد الفعل.
تختلف مشكلات الأمان بشكل عام حسب الشركة. يجب على بعض المؤسسات تحسين إدارة الثغرات الأمنية لديها، بينما يجب على مؤسسات أخرى تحسين رؤية شبكتها والاستجابة للحوادث.
تتضمن بعض الخطوات الأكثر إهمالًا لتقييمات الأمان الفشل في اختبار جميع مضيفي الشبكة وتطبيقاتها، والفشل في اختبارها من جميع الزوايا، والفشل في اختبارها باستخدام الأدوات الصحيحة. ويؤدي هذا النقص في الاهتمام بالتقييمات الأمنية إلى استغلال سلسلة التوريد.
3. قياس النجاحات والإخفاقات الأمنية
يمكن أن تساعد مقاييس الأمن السيبراني في تحديد المجالات التي تنجح فيها الشركة في مجال الأمن السيبراني بالإضافة إلى المشكلات التي لا تزال بحاجة إلى المعالجة.
ستكون مقاييس كل شركة مختلفة، ولكن هناك معلومات مفصلة عن تقييم المخاطر وبعض المحادثات الصريحة مع أعضاء اللجنة الأمنية سيكشف عن المجالات الأكثر أهمية للقياس.
بعض مقاييس الأمن السيبراني الشائعة هي إيقاع التصحيح، أو إيقاع التصحيحات الأمنية الخاصة بالبائعين وسرعة تنفيذها؛ مستوى الاستعداد، الذي يقيس مدى استعداد الشركة لأنواع مختلفة من الهجمات؛ ومتوسط الوقت اللازم لحل المشكلة، أو متوسط مقدار الوقت الذي تستغرقه الشركة للرد على حادث ما.
كيفن بيفر هو مستشار مستقل لأمن المعلومات وكاتب ومتحدث محترف لدى شركة Principle Logic, LLC ومقرها أتلانتا. مع أكثر من 30 عامًا من الخبرة في هذا المجال، يتخصص Kevin في إجراء اختبارات الثغرات الأمنية والاختراق بالإضافة إلى الأعمال الاستشارية الافتراضية لـ CISO.
