في عام 1965 ، كتاب رالف نادر الرائد غير آمن في أي سرعة كشفت عن كيفية إعطاء مصنعي السيارات الأولوية للأسلوب والأداء والربح على سلامة السائقين والركاب. أثار روايته الغضب العام والتغييرات الكاملة المحفوظة ، بما في ذلك التبني الواسع لأحزمة الأمان وغيرها من ابتكارات السلامة. كما لاحظ مدير CISA السابق جين Easterly في وقت سابق من هذا العام، اليوم نجد أنفسنا في نقطة انعطاف مماثلة في مجال تطوير البرمجيات.
Birthizsng سرعة وميزات المنتج ، غالبًا ما يتم التعامل مع تطوير البرمجيات الآمن على أنها فكرة لاحقة. أصبحت التهديدات الإلكترونية أكثر تطوراً ، وإذا لم تتطلب المنظمات مقدمة مبكرة وتكامل أفضل في التدابير الأمنية من موردي البرمجيات ، فقد تواجه عواقب وخيمة.
موردي الطرف الثالث مخاطر الطرف الأول
تعتمد المؤسسات اليوم بشكل متزايد على البرمجيات كخدمة (SAAS) ، وتضمينها بعمق في البنية التحتية والعمليات التجارية لأنها أرخص وأكثر كفاءة. على الرغم من أن هذه الحلول توفر قابلية التوسع والكفاءة ، إلا أنها تحدد مخاطر كبيرة. ومع ذلك ، فإننا نعيش الآن في عصر يهيمن عليه الذكاء الاصطناعي (AI) حيث يتم التحايل على الحدود الأمنية التقليدية. بالنظر إلى كمية هائلة من البيانات التي يتم تبادلها بين الأنظمة والعديد من الجهات الفاعلة المشاركة في سلسلة التوريد ، فإن تأثير حادث الإنترنت المتعلق بعيوب تطوير البرمجيات أصبح الآن أكبر من أي وقت مضى.
ارتفع حجم البيانات وتعقيدها التي تتطلب الحماية ، حيث أن الذكاء الاصطناعى ينشئ الآن ، يجري ، ويشارك كميات هائلة من البيانات عبر المؤسسات والجهات الخارجية.
ال 2024 تقرير تحقيقات خرق البيانات من Verizon يكشف أن 15 ٪ من الانتهاكات تضمنت طرفًا ثالثًا أو مورد ، مثل سلاسل إمداد البرمجيات ، أو البنية التحتية للشركاء ، أو أمناء البيانات. لقد ارتفع هذا الرقم على أساس سنوي ، وهو يسلط الضوء على الحاجة الملحة للمنظمات لإعادة التفكير في مقاربتها في إدارة المخاطر من طرف ثالث.
أحد أكبر الأخطاء التي ترتكبها الشركات في تقييمات البائعين هي التركيز فقط على الامتثال لأمن البائعين بدلاً من أمان المنتج. ترسل العديد من المؤسسات استبيانات طويلة إلى البائعين حول نظام إدارة أمن المعلومات (ISMS) ولكنها تفشل في التدقيق في تطبيقهم وأمن المنتج. غالبًا ما يُنظر إلى الشهادات وتشهادات الامتثال ، مثل ISO 27001 و SOC 2 و PCI DSS و GDPR ، على أنها معايير أمان ، لكنها لا تضمن بالضرورة ممارسات تطوير البرمجيات الآمنة المستمرة.
يجوز لبعض البائعين الاحتفاظ بهذه الشهادات ؛ ومع ذلك ، قد تقع منتجات معينة من محفظتها خارج نطاق معايير الأمن هذه والأطر. إذا تم التغاضي عنها ، يمكن أن تؤدي هذه البقعة العمياء إلى مخاطر أمنية كبيرة. قد تفترض المؤسسة أن البائع المعتمد لديه تدابير أمنية قوية معمول بها ، فقط لاكتشاف لاحقًا أن المنتج المحدد الذي يستخدمونه يفتقر إلى الضوابط الأمنية الأساسية.
اطلب أفضل من مورديك
للمقاومة هجمات سلسلة التوريد وتخفيف المخاطر المرتبطة بها ، يجب على المؤسسات دفع مورديها لتحديد أولويات تطوير البرمجيات الآمنة. وهذا يعني أن مطالبة البائعين بإظهار ليس فقط الامتثال الأمني ولكن أيضًا في التصديق والالتزام الواضح بتأمين ممارسات التنمية. فيما يلي بعض المبادرات الرئيسية التي يجب على المؤسسات تنفيذها لبناء برنامج فعال لتقييم الطرف الثالث:
- توسيع تقييمات أمن البائع التقليدية: تجاوز استبيانات الأمن السيبراني الأساسي وتحدي بائعيهم على تدابير تطبيقهم وأمان المنتج. تخصيص البرنامج للمتطلبات المحددة وديناميات مؤسستك ، والنظر في دمج الأسئلة المتعلقة بالتقنيات الناشئة مثل الذكاء الاصطناعي.
- ضمان ممارسات دورة حياة تطوير البرمجيات الآمنة (SDLC): يطلب من البائعين تقديم دليل على أن الأمن مدمج في كل مرحلة من مراحل التطوير ، من التصميم إلى النشر.
- تحول إدارة مخاطر الطرف الثالث من المجال إلى السيطرة: تتعلق إدارة مخاطر الطرف الثالث في النهاية بإدارة مخاطر الأعمال ، وليس فقط مخاطر الأمن. في جوهرها ، إنها مشكلة في البيانات. لذلك ، يجب أن تشارك المؤسسات أصحاب البيانات وأصحاب المصلحة المعنيين في العملية وتثقيفهم حول المخاطر المرتبطة بها من حيث الأعمال الواضحة.
- طلب الشفافية: احصل على الرؤية في عناصر التحكم في الأمان المطبقة على منتجات البرمجيات ، بدلاً من الاعتماد فقط على شهادات الامتثال.
- إجراء تقييم مستمر لمخاطر الطرف الثالث: مراقبة بائعي الطرف الثالث باستمرار ، حيث تتطور مخاطر الأمن مع مرور الوقت.
- تبني عقلية ثقة صفرية: افترض أن كل اتصال طرف ثالث يمكن أن يكون مخاطر محتملة وأن يفرض ضوابط الوصول الصارمة ، عندما يكون ذلك ممكنًا.
يتطلب المشهد الرقمي لعام 2025 تحولًا أساسيًا في كيفية تعاملنا مع أمن البرمجيات. مثلما أحدثت أحزمة الأمان ومعايير السلامة ثورة في صناعة السيارات ، يجب أن تصبح ممارسات الأمن القوية هي القاعدة في تطوير البرمجيات.
يجب أن تدرك المنظمات أن مخاطر الطرف الثالث هي مخاطرها الخاصة. لم يعد كافيًا للاعتماد على تأكيدات البائعين أو مربعات الاختيار الامتثال. بدلاً من ذلك ، يجب على الشركات اتخاذ موقف استباقي من خلال المطالبة بالشفافية ، وفرض معايير أمنية صارمة ، وضمان أن التطوير الآمن يمثل أولوية من الألف إلى الياء. إذا فشلنا في دفع الموردين إلى التطوير بشكل آمن ، فستكون العواقب بعيدة المدى ، مما يؤثر ليس فقط على الشركات الفردية ولكن النظام الإيكولوجي الرقمي بأكمله.
Ejona Preçi هو عضو ومتطوع في ISACA ، وقائد إلكتروني طويل الأمد. تعمل في منصب Global CISO في Lindal Group ، وهي شركة تصنيع منتجات التغليف ومقرها هامبورغ ، وهي أيضًا رئيسة للنساء في ألمانيا للأمن السيبراني (WICYS). تلتزم إيجونا بالتنوع والإدماج في الأمن ، وتأمل في تشكيل مستقبل حيث يعطي حلول الذكاء الاصطناعي (AI) وحلول الأمن السيبراني الأولوية للإنصاف والمساءلة والرفاهية المجتمعية ، وسد الفجوة بين الابتكار والأخلاق. هذه هي مساهمتها الأولى في خزان الأمن الأسبوعي للأمان.
