من بين أكبر 2000 شركة في العالم، هناك 1980 شركة لديها اتصال مباشر بمورد تكنولوجيا تعرض مؤخرًا لحادثة أمن سيبراني أو خرق للبيانات، مما يسلط الضوء على مستويات المخاطر المتصاعدة التي تهدد الاقتصاد العالمي بسبب هجمات سلسلة التوريد متعددة الأطراف.
في بحث تم إصداره بمناسبة اليوم الافتتاحي لمؤتمر Black Hat الأمني السنوي، بطاقة تقييم الأمان و معهد سينشيا قالوا إنهم حددوا أن 99٪ من المنظمات المدرجة على فوربس العالمية 2000 وكانت الشركات المدرجة في القائمة – والتي تضم العديد من الشركات المتعددة الجنسيات في المملكة المتحدة مثل أسترازينيكا، وبي بي، ودياجيو، وإتش إس بي سي، وفودافون على سبيل المثال لا الحصر – معرضة لمثل هذه المخاطر.
وقد بلغت الخسائر الناجمة عن الاختراقات التي أثرت على الشركات المدرجة في قائمة Global 2000 بالفعل مليارات الدولارات الأميركية، وربما وصلت إلى 80 مليار دولار أميركي في الأشهر الخمسة عشر الماضية، ووجدت الدراسة المشتركة أن 20% من الشركات المدرجة في قائمة Global 2000 كانت تستخدم 1000 أو أكثر من منتجات تكنولوجيا المعلومات، مما يعني أنها تواجه نفس العدد من نقاط الدخول المحتملة.
وبالإضافة إلى ذلك، فإن الترابط الكبير القائم بين هذه الشبكة من المنظمات يزيد من هذا الخطر، كما قال ويد بيكر، الشريك والمؤسس المشارك في شركة سينتيا.
وقال “في حين أن الشركات العالمية 2000 تفتخر بإيرادات تبلغ 51.7 تريليون دولار، فإن ترابطها يعرضها لمخاطر سيبرانية شديدة – حيث يرتبط 99% منها بشكل مباشر بالبائعين المخترقين والحوادث التي يمكن أن تصل قيمتها إلى عشرات المليارات”.
وأضاف ريان شيرستوبيتوف، نائب الرئيس الأول لأبحاث التهديدات والاستخبارات في شركة SecurityScorecard: “لقد بدأ العالم للتو في إدراك إمكانية الفوضى الناجمة عن مخاطر التركيز.
“إن فهم وإدارة سلسلة التوريد الخاصة بك أمر بالغ الأهمية لحماية استمرارية الأعمال. ولا يتعلق الأمر فقط بمنع الاضطرابات؛ بل يتعلق أيضًا بحماية الأساس الحقيقي لاقتصادنا المترابط.”
تحذير من حادثة CrowdStrike
في الأسابيع الأخيرة، أصبحت SecurityScorecard من بين عدد من المنظمات التي أصبحت منزعجة بشكل متزايد من احتمال حدوث اضطراب عالمي كبير ناجم عن مشكلات تكنولوجيا المعلومات، سواء كان ذلك ناتجًا عن حوادث إلكترونية، مثل خروقات عام 2023 تم تنظيمه عبر منتج MOVEit من Progress Softwareأو من خلال وسائل أخرى، مثل حادثة CrowdStrike في يوليو 2024، والتي لا تزال عواقبها تتردد أصداؤها في مختلف أنحاء الصناعة.
تكلم في أعقاب اضطراب CrowdStrikeوقال الرئيس التنفيذي لشركة SecurityScorecard أليكس يامبولسكي إن تركيز الخدمات المهمة للغاية بين عدد قليل من الموردين الكبار جعل أنظمة تكنولوجيا المعلومات العالمية هشة مثل “منزل محفوف بالمخاطر يقع على حافة جرف” وحذر من أن المزيد من هجمات CrowdScorecard في المستقبل على الأرجح.
تعرف على سلسلة التوريد الخاصة بك
أكدت SecuritySorecard على التوجيهات العامة التي تفيد بأن مبادئ معرفة سلسلة التوريد الخاصة بك (KYSC) تحتاج الآن إلى اعتمادها بشكل عاجل على نطاق واسع كعنصر أساسي في استراتيجية مرونة الأعمال.
إن فهم مكان التبعيات داخل المؤسسة أمر بالغ الأهمية إذا أردنا تمكين فرق تكنولوجيا المعلومات والأمن من الاستجابة بشكل فعال عندما يحدث خطأ ما.
هناك عدة خطوات رئيسية ينبغي أن تشكل جوهر هذه الاستراتيجية:
- مراقبة مستمرة لسطح الهجوم الخارجي، بما في ذلك المسح الآلي، لتحديد وتخفيف مخاطر تكنولوجيا المعلومات والإنترنت في بيئات الموردين والوكالات والشركاء؛
- تحديد نقاط الفشل الفردية من خلال رسم خرائط للعمليات التجارية والتقنيات الهامة للعثور على نقاط الاشتعال المحتملة، والتعاون مع الموردين المعنيين لإنشاء قائمة مراقبة لتعزيز الاهتمام بها؛
- تابع عمليات نشر تكنولوجيا المعلومات الخاصة بالموردين لديك لتحديد المخاطر المخفية من سلاسل التوريد الخاصة بهم وحلها.
