لا تزال العديد من المنظمات تفتقر إلى الرؤية في سلاسل التوريد الرقمية، ترك نقاط الضعف الخطيرة على الرغم من الحوادث المتزايدة واللوائح الجديدة مثل NIS2قواعد SEC ، و درة. ستعرف معظم الشركات من قاموا بتوقيع عقود معها. ولكن اطلب قائمة كاملة بكل تعتمد على البرامج أو تكامل API أو النظام الأساسي السحابي أو مكتبة مفتوحة المصدر التي تتعامل مع البيانات الحساسة ، وقابلت الصمت. هذا الصمت خطير ويشير إلى نقص العناية الواجبة والتحكم في النظافة السيبرانية.
ذلك لأن سلسلة التوريد اليوم لم تعد سلسلة خطية من البائعين ؛ إنه نظام بيئي مترامي الأطراف ومعقدة للخدمات والمنصات والترابط الخفي. عندما تنفجر أحد هذه الروابط ، لا يتوقف الضرر عند جدار الحماية. فقط أسأل أولئك الذين وقعوا في تداعيات Solarwinds ، MoveIt، log4j أو حتى CrowdStrike انقطاع التمييز. في كل حالة ، تم تمثيل حل وسط أو سوء تكوين خاطئ إلى الخارج ، مما يؤثر على الآلاف من الشركات المصب التي لم يكن لديها رؤية مناسبة لنقاط الضعف في سلسلة التوريد. إن الوثوق بمورديك شيء واحد ، ومعرفة التعرض للمخاطر ، والتأثير المحتمل ، والمرونة مختلفة تمامًا.
على الرغم من الطبيعة البارزة لحوادث الأمن أو التكوين هذه ، فإن العديد من المجالس لا تزال تقلل من مخاطر سلسلة التوريد الإلكترونية ، أو ما هو أسوأ ، افترض أنها تحت السيطرة بالفعل أو يمكن إدارتها بواسطة SLAs التعاقدية وحدها. انها ليست لعبة اللوم رغم ذلك. هذا لا يتعلق بالرضا عن الرضا ، إنه مجرد بقعة عمياء ، وهي موجودة لأن نماذج المخاطر التقليدية لم تكن مصممة للتعقيدات الحديثة. لا تزال معظم المؤسسات تعامل أمن الطرف الثالث كعلامة اختيار للمشتريات أو تمرين تدقيق سنوي بدلاً من ما هي عليه حقًا: سطح هجوم حيوي حي. ماذا يكون الرضا عن الاعتقاد بأن هذا تحد فني صغير يمكن لـ CISO إصلاحه بهدوء. على العكس من ذلك ، فإنه يمثل تهديدًا استراتيجيًا لاستمرارية العمل وثقة العملاء والامتثال التنظيمي ، ولكن عند إدارته جيدًا ، يمكن أن يصبح تمييزًا تجاريًا.
النظام البيئي المورد أكبر بكثير مما تعتقد
في الأمن السيبراني ، تجاوز مصطلح “المورد” العقد. يتضمن الآن منصات SaaS التي تعتمد عليها ، والبنية التحتية السحابية التي تعمل خلف الكواليس ، ورمز المصدر المفتوح المضمّن في برنامجك ، والبائعين الطرف الرابع الذين يدعمون بائعي الطرف الثالث. إنها سلسلة رقمية من الحضانة ، وكل رابط في تلك السلسلة هو نقطة التعرض المحتملة. تكمن المشكلة في أن القليل من المنظمات لديها فهم حقيقي لنظامها الإيكولوجي للمورد أو قامت بتعيين سلسلة التوريد بالكامل. يرون طرف الجبل الجليدي مثل الاتفاقات الموقعة وجداول العناية الواجبة ، ولكن ليس التبعيات المتربصة أسفل السطح.
هذا هو المكان الذي تقصر برامج المخاطر التقليدية لجهة خارجية. أنها تركز على المشتريات ، وليس القرب. عادة ما يتم قياس المخاطر من حيث من تشتري منه وقيمة المعاملات بدلاً من من لديه الوصول إلى الأنظمة أو البيانات أو معلومات العميل. ومع ذلك ، فإن هذه الاعتمادات المتبادلة الخفية التي يستغلها المهاجمون. واجهة برمجة تطبيقات للخطر في أداة التسويق ؛ الضعف في مكتبة مفتوحة المصدر تستخدم على نطاق واسع ؛ موفر سحابة سوء التكوين الذي يترك بيانات العميل مكشوفة. هذه هي العناوين المتكررة. إذا لم تتمكن من رؤية نصف قطر الانفجار الرقمي الكامل لنظامك الإيكولوجي ، فلن تتمكن من تأمينه. وإذا لم تتمكن من شرح هذا المخاطر من حيث العمل ، فلن تحصل على الدعم اللازم لإدارته.
ما لا يزال لا يرى قاعة الاجتماعات
بالنسبة لمعظم المجالس ، يُنظر إلى مخاطر الطرف الثالث على أنها مسؤولية CISO ، بدلاً من الاهتمام على مستوى الشركة. هذا ليس لأنهم لا يهتمون ؛ ذلك لأن أحداً لم يترجم التعقيد التقني إلى “تأثير” أو عواقب يمكن أن يرتبطوا بها. لا تحتاج المجالس إلى قائمة من البائعين أو المتهدمة التي يتم استخدام مكونات مفتوحة المصدر في أي أنظمة. إنهم بحاجة إلى معرفة ما يحدث إذا فشل أحدهم. ما هو التداعيات والتأثير المحتمل؟ كم عدد العملاء الذين من المحتمل أن يتأثروا؟ ماذا ستكون التكلفة من حيث التوقف أو الثقة أو التعرض للامتثال؟ إلى أن تكون هذه الإجابات واضحة ، تظل مخاطر النظام الإيكولوجي مجردة ، ولكي تكون عادلة في مجالس المجالس ، يصعب تحديد أولويات “التجريد”.
لذلك ، ضربت فرق الأمن الجدار. لقد قاموا بالتعيين الفني ، ووضعوا علامة على المخاوف ، وتشغيل التقييمات ، لكن الرسالة لا تزال لا تهبط. لماذا؟ لأنها ملفوفة بلغة لم تتغير منذ أن غادرت قسم تكنولوجيا المعلومات. لجعل مخاطر سلسلة التوريد يتردد صداها على مستوى اللوحة ، فإنه يحتاج إلى أ قصة. سيناريو “ماذا لو” ترتكز على العمليات الفعلية للشركة. ماذا لو تم خرق هذا البائع الصغير الذي يدعم نظام الفواتير الخاص بك؟ ماذا لو كان مزود السحابة الذي يدير خط أنابيب التحليلات لديك لديه انقطاع؟ ماذا لو أن مكتبة التعليمات البرمجية التي يعتمد عليها منتجك يتم ضربها مع يوم صفر؟ هذه هي المحادثات التي تحرك أمان سلسلة التوريد من عمود “لطيف” وفي عمود الميزانية.
التنظيم بدون حدود
خطر الطرف الثالث هو الآن مسألة حوكمة. بموجب الأطر مثل NIS2 و DORA ، يتم محاسبة المنظمات بشكل مباشر عن وضع الأمن السيبراني لسلسلة التوريد الرقمية الخاصة بهم. ويشمل ذلك الموردين ومقدمي الخدمات وفي بعض الحالات الأطراف الرابعة. لا يكفي إجراء تقييم سنوي وتقديمه بعيدًا. تتطلب هذه اللوائح الإشراف المستمر ، والخداع الواجب ، والأهم من ذلك ، القدرة على توصيل التعرض للمخاطر في الوقت المناسب وشفافة. العقوبات المالية لعدم الامتثال هي ضخمة. ل درة، يصل إلى 10 ملايين يورو أو 2 ٪ من دوران السنوي اعتمادًا على أي حالات أعلى. لكن تكلفة السمعة عالية أيضا.
ولكن هنا تصبح الأمور صعبة بعض الشيء: المشهد التنظيمي ليس موحدًا. يجب على المنظمات العالمية التنقل في مجموعة من الالتزامات ، من قواعد الإفصاح السيبراني في SEC في الولايات المتحدة إلى إنفاذ الناتج المحلي الإجمالي في الاتحاد الأوروبي ، والولايات الخاصة بالمنطقة في منطقة آسيا والمحيط الهادئ. جدول بيانات واحد لكل منطقة ، أو تدقيق واحد لكل العام ، لن يقطعها. تتمثل الخطوة الذكية في بناء وضع موحد للمخاطر يتوافق مع روح هذه اللوائح ، وليس فقط الرسالة. ابدأ بالتأثير: أي الموردين الذين يمكن أن يعطل عملك إذا تعرضوا للخطر؟ ما هي التبعيات التي تعرض بيانات العميل أو الاستمرارية التشغيلية؟ إذا تمكنت من الإجابة على هذه الأسئلة بثقة ، يصبح الامتثال نتيجة ثانوية طبيعية بدلاً من تمرين محموم.
كانت الرؤية ترفا. الآن هو أساس الأمن والسيطرة والاستمرارية في الاقتصاد الرقمي المترامي الأطراف.
تيم جريفسون هو كبير ضباط الأمن في ThingsRecon.
