Управление рисками цепочки поставок

Для компаний, которые производят или распространяют продукцию, цепочки поставок являются настоящим спасательным кругом. И сегодня многие из наиболее существенных угроз для цепочек поставок существуют в цифровом мире, где уязвимости могут быть использованы хакерами и киберпреступниками. Злоумышленники нацелены как на аппаратные, так и на программные компоненты цепочек поставок, и они могут повлиять на все: от проектирования и снабжения продукта до производства, дистрибуции и финансовых партнеров.

Управление рисками киберцепочки поставок (C-SCRM) определяется как процесс обеспечения целостности аспектов цепочки поставок, поддерживаемых ИТ, путем выявления, оценки и смягчения рисков на каждой критической фазе. Это жизненно важный бизнес-процесс, который набирает обороты по мере того, как киберугрозы проникают в деловой мир.

Угрозы кибербезопасности цепочки поставок многочисленны

Цепочки поставок уже испытывают сбои. Согласно недавнему исследованию, 85 процентов компаний испытывают по крайней мере один сбой в цепочке поставок каждый год. А уязвимости в инфраструктуре данных компании-поставщика являются самой большой причиной угроз данным цепочки поставок.

Некоторый отрезвляющая статистика о состоянии кибербезопасности цепочки поставок и управлении рисками:

• По данным NCC Group, во второй половине 2021 года количество кибератак на цепочки поставок выросло на 51 процент. Менее трети руководителей цепочек поставок заявляют, что они полностью уверены в своей способности быстро реагировать на атаки.
• McKinsey сообщает, что 93 процента руководителей цепочек поставок говорят, что они предпринимают позитивные шаги для обеспечения большей устойчивости цепочек поставок (это хорошие новости). Но только 21 процент считают, что их сети в настоящее время «высокоустойчивы», согласно Gartner.
• 90 процентов менеджеров по цепочке поставок утверждают, что технологии, обеспечивающие лучшую прозрачность всей цепочки поставок, являются приоритетом.

Основные принципы кибербезопасности цепочки поставок

Для компаний, которые хотят обратиться к C-SCRM, есть некоторые основные принципы необходимо знать, прежде чем приступать к планированию эффективной стратегии управления рисками.

• Нарушения неизбежны: организации должны разрабатывать защиту, основанную на принципе, что ИТ-системы в поставке будут взломаны в какой-то момент. Когда они принимают эту реальность, они фокусируют решения не только на том, как предотвратить нарушение, но и на том, как уменьшить способность злоумышленника использовать информацию или активы, и как восстановить нарушение системы.
• Физическая и кибербезопасность связаны: на самом деле нет практического разрыва между физической и кибербезопасностью. Атаки на физическую инфраструктуру цепочки поставок могут исходить от киберуязвимости, и наоборот, физическая безопасность может быть использована для запуска кибератаки.

Поймите источник рисков: риски возникают во многих областях цепочки поставок, включая сторонних поставщиков услуг (физических и ИТ-услуг), ненадлежащий протокол ИТ-безопасности у поставщиков низшего уровня, уязвимое или поддельное оборудование и программное обеспечение поставщиков, а также управление данными третьих лиц.

• Это не просто технологическая проблема: она также касается людей, процессов и общих знаний. Нарушения часто происходят из-за человеческих ошибок, а не только из-за технологий. Сотрудники должны понимать уязвимости в своей части цепочки поставок и знать, как использовать лучшие практики кибербезопасности для защиты информации и интеллектуальной собственности.

Угрозы кибербезопасности цепочки поставок, на которые следует обратить внимание

Основные киберриски в цепочках поставок отражают риски, которые присутствуют в повседневной практике кибербезопасности, но связи между субъектами цепочки поставок и потребителями могут представлять новый уровень риска для людей и компаний. Среди угрозы, которые произошли в последнее время иметь в виду:

Программы-вымогатели

Программы-вымогатели уже являются одной из самых быстрорастущих киберугроз. В мае 2021 года атака на трубопровод Colonial Pipeline нарушила поставки газа и авиатоплива на юго-востоке США. Платеж программы-вымогателя составил 4,4 миллиона долларов, но косвенный ущерб цепочке поставок был гораздо больше. В другом примере, логистический провайдер Expeditors Компания понесла убытки в размере 40 миллионов долларов из-за упущенных возможностей судоходства и еще 20 миллионов долларов из-за расходов на устранение последствий, расследование и восстановление.

Фишинг

Фишинговые атаки были направлены на Цепочка поставок холода для борьбы с COVID-19 во время пандемии получил доступ к сети производителя температурного хранилища и распространил новые фишинговые письма партнерам по транспортировке вакцин, еще больше распространив опасность по цепочке поставок.

Кража данных Интернета вещей

Устройства отслеживания IoT, которые контролируют грузы, широко распространены в транспортных и логистических компаниях, которые являются основными партнерами в цепочках поставок. Проблема в том, что большинство из них не применяют достаточных мер безопасности для защиты данных IoT, которые они применяют для центрального ИТ. Данные, если их украдут, могут быть проданы конкурентам или могут помочь в организации физических атак на предстоящие поставки.

Практикуйтесь на 30+ демонстрациях и нескольких реальных проектах в интегрированных лабораториях в рамках Расширенной программы для руководителей по кибербезопасности. Зарегистрируйтесь сегодня и воспользуйтесь преимуществами!

Навыки и сертификация для повышения уверенности в устойчивости цепочки поставок

Киберкомпонента риска цепочки поставок становится все более серьезной проблемой для любой компании, которая вносит вклад в более крупную цепочку создания стоимости. Сегодняшним специалистам по цепочке поставок необходимо быть в курсе новейших технологий и передовых методов управления собственным риском (и риском своих партнеров). Начните сегодня с этими прекрасными вариантами:

• Программа профессиональной сертификации по цифровому управлению цепочками поставок, которая охватывает ключевые технологии в области закупок, управления запасами, логистики и складирования, аналитики цепочек поставок, управления рисками и ИТ, необходимые для надежных цепочек поставок.

• Программа принципов лидерства для руководителей, в рамках которой руководители цепочек поставок могут лучше понять организационные стратегии, ведение переговоров, управление культурой и сетями, а также реализацию сильных сторон лидерства.

• Лагерь по кибербезопасности, где учащиеся подробно изучают безопасность корпоративной инфраструктуры, безопасность приложений и веб-сайтов, анализ программ-вымогателей и вредоносных программ, а также этичный хакерский подход.