في يوليو ، أكدت شركة الطيران الأسترالية Qantas أ خرق البيانات هذا ما قال إنه نشأ مع منصة خدمة العملاء الخاصة بالبائع ، مما يتيح للمتسللين الوصول إلى البيانات الشخصية التي تصل إلى ستة ملايين من عملاء Qantas. جاءت هذه الأخبار بعد فترة وجيزة من كشف مقدمي الرعاية الصحية عن أنهم كانوا ضحية لهجوم على Episource ، أحد مقدمي الخدمات لديهم، فضح السجلات الطبية لحوالي 5.4 مليون مريض.
لاحظ اتجاه هنا؟ في كل حالة ، قدم طرف ثالث داخل النظام الإيكولوجي للضحية نقطة دخول للهجمات الإلكترونية ، وفقًا للتقارير. إن الدرس الكبير من هذه الحوادث هو الدفاعات الإلكترونية للشركة هي فقط محمية مثل المنظمات في النظم الإيكولوجية التجارية.
كما لاحظت شارع أمان مراقبة الهواتف الإلكترونية ، “غالبًا ما يمثل بائعو الطرف الثالث أضعف رابط في أمن بيانات الشركات. حتى الخدمات غير الحرجة مثل دعم العملاء يجب أن تُعقد وفقًا لمعايير أمنية صارمة.”
إذا كانت النتائج من شركة حركية حديثة تقرير هي أي مؤشر ، بعض الشركات الصغيرة والمتوسطة (SMBS) داخل نظامك البيئي لعملك قد تعرض مؤسستك للخطر. وجد التقرير ، استنادًا إلى دراسة استقصائية لأكثر من 300 من أصحاب الأعمال الصغيرة والمشغلين والمديرين في جميع أنحاء الولايات المتحدة ، انفصالًا مقلقًا بين الشركات الصغيرة والمتوسطة ، حيث يتعرفون على التهديد المتزايد من الهجمات الإلكترونية ويريدون اتخاذ تدابير لحماية منظماتهم ، ومع ذلك يفتقرون غالبًا إلى الموارد للاستثمار في دفاعات أفضل. في حين أن الغالبية العظمى (59 ٪) أقروا بأن أعمالهم يجب أن تحسن الأمن السيبراني ، إلا أن حوالي نصف (49 ٪) أشاروا إلى أن منظماتها تعتزم الاستثمار في تكنولوجيا الأمن السيبراني هذا العام ، وقال 52 ٪ إنهم غير واثقين من استعداد منظمتهم لتهديد الأمن السيبراني.
هذا علامة حمراء كبيرة – ودعوة إلى العمل – للعديد من المؤسسات التي تشمل أنظمة الأعمال البيئية للشركات الصغيرة والمتوسطة. مخاطر انتهاكات الطرف الثالث حقيقي للغاية والمخاطر عالية جدًا بحيث لا يمكن تجاهلها. أ التقرير الحديث من Mastercard وجدت أن 46 ٪ من أكثر من 5000 من أصحاب الأعمال الصغيرة والمتوسطة التي شملتها استطلاعها شهدت هجومًا إلكترونيًا على أعمالهم. وفي الوقت نفسه ، فإن ما يقرب من ثلث (31 ٪) من مطالبات التأمين المتعلقة بالسيبر كانت تعزى إلى الانتهاكات التي تنشأ مع طرف ثالث ، وفقًا ل القراءة المظلمة.
بالنظر إلى مدى انتهاكات الطرف الثالث الشائع ، يجب على المنظمات أن تعمل بشكل حاسم للحد من تهديدات الأمن السيبراني المتأصلة في النظم الإيكولوجية التجارية الحديثة. ابدأ بهذه الخطوات الخمس:
1. قم بتقييم الدفاعات الإلكترونية لمؤسستك. أولا ، تأكد من أن منزلك في النظام. قم بتقييم ملف تعريف المخاطر الإلكترونية لشركتك ، وإجراء تدقيق يتضمن اختبار تغلغل ، يحلل الدفاعات ويحدد الفجوات في المستويات عن بُعد ، في المكتب والسحابة عبر المؤسسة بأكملها ، واتخاذ أي خطوات ضرورية لمعالجة أوجه القصور والفجوات.
2. قم بتعيين شريط الأمن السيبراني مرتفعًا داخل النظم الإيكولوجية التجارية لشركتك – وتأكد من مسحه الجميع. بعد تقييم الدفاعات الإلكترونية لمؤسستك ، حول انتباهك الآن إلى الآخرين في النظم الإيكولوجية لعملك. ما هو مطلوب هنا هو موقف “الثقة ولكن تحقق” ، حيث ينشئ فريق الأمان مجموعة من معايير ومتطلبات الأمن السيبراني المحدد جيدًا والتي من المتوقع أن تتوافق بها الكيانات داخل النظم الإيكولوجية. ثم يمكن لفريق الأمان طلب تقارير أو عمليات تدقيق من تلك الكيانات للتأكد من أنها تحقق من جميع المربعات المطلوبة. وفي الوقت نفسه ، يجب على الكيانات الأخرى داخل النظام الإيكولوجي أيضًا تقييم الدفاعات الإلكترونية لمؤسستك ، مما يعزز ثقافة الأمن التعاونية عبر النظام البيئي.
في النهاية ، يتمثل الهدف من التأكيد على أن نظرائك داخل النظام الإيكولوجي للأعمال ، والشركات الصغيرة والمتوسطة وغير ذلك ، لديهم تدابير أمنية معمول بها مناسبة لمظهر المخاطر المحدد.
3. تعزيز التواصل العادي والمفتوح والتعاون بين المنظمات وأفراد الأمن/الفرق. تحتاج فرق الأمن الخاصة بك إلى معرفة من هم نظرائهم في منظمات أخرى (كبير موظفي الأمن ، على سبيل المثال) في النظام الإيكولوجي ، ثم التواصل معهم بانتظام لتبادل أفضل الممارسات والمخاطر ، ومناقشة الامتثال ، وتنبيه بعضهم البعض إلى المخاطر الجديدة والناشئة في التهديدات الأمنية والتهديدات الأمنية.
4. كن سخية في مشاركة خبرتك الأمنية السيبرانية مع كيانات أقل تطوراً وأكثر تقييدًا للموارد داخل نظامك الإيكولوجي. كما يلاحظ تقرير الأعمال الحركية ، فإن العديد من الشركات الصغيرة والمتوسطة تفتقر إلى الجيوب العميقة والخبرات الداخلية لتقييم واكتساب وإدارة إمكانات الأمن السيبراني اللازمة لحماية شبكاتها الرقمية والبنية التحتية لتكنولوجيا المعلومات. إذا كان هذا هو الحال مع أي مؤسسة داخل النظام البيئي لعملك ، فيمكنك دفعها إلى الأمام ، على سبيل المثال ، من خلال منح تلك المؤسسات الوصول إلى خبراء الأمن الداخلي الخاص بك للحصول على المشورة والتوجيه وتقديم إحالات البائعين.
5. التمسك بمعايير الأمن السيبراني التي تنشئها لنظرائك في النظام الإيكولوجي وتكون مستعدًا لأخذ عملك في مكان آخر إذا لم تتمكن المنظمة – أو غير راغبة في ذلك. يجب أن يكون أعضاء النظام البيئي لعملك مسؤولين عن تلبية متطلبات وتوقعات الأمن السيبراني لبعضهم البعض (طالما أنهم في حدود المعقول ، بالطبع). إنشاء عمليات وبروتوكولات للتحقق بانتظام من أن الكيانات الأخرى تلبي متطلباتك.
إن فقدان بائع أو مورد أو شريك محترم ليس مثاليًا. ولكن نظرًا لأن الشركات التي تعرضت للضحية من قبل الهجوم الإلكتروني الذي بدأه طرف ثالث يمكن أن تشهد ، تتخذ تدابيرًا وقائية استباقية بالتأكيد تتعامل مع ما بعد خرق خطيرة للبيانات.
