Наука и безопасность
www.pamag.ru
Главная | Фотогалерея | Форум | Реклама | Контакты
ПУБЛИКАЦИИ
Учебно-методическая литература
Публикации. Авторам. Редколлегия. Партнеры. Контакты.
Предотвращение аварий
зданий и сооруженийЭлектронный журнал
Научные статьи. Обрушения. Заявка на публикацию. Редколлегия. Свидетельство о регистрации.
Предотвращение аварий
зданий и сооруженийЕжегодная международная конференция
История. Участники конференций. Программа конференций. Фотографии с последней конференции. Сборник научных трудов. Заявка на участие. Организационный комитет.
Конференции, Семинары
ВыставкиКонференции, Семинары, Выставки



ТЕХНОЛОГИЧЕСКАЯ ПЛАТФОРМА
Комплексная безопасность промышленности и энергетики
Новости. Конференции. Форумы.








Блог Шаблон

Новость

5 основных проблем безопасности цепочки поставок и передовой опыт их решения

20.02.2023 <<Назад

Средняя стоимость утечки данных составляет почти 4 миллиона долларов, поэтому компаниям необходимо защищать свои цепочки поставок с помощью комбинации многоуровневых средств защиты. Джонатан Райт.

Недавний отчет показал нам, что ландшафт угроз 2020 года во многом был сформирован пандемией. Поскольку компании стремились перейти к облачным средам, чтобы сохранить свою деятельность во время пандемии, безопасность была в значительной степени второстепенной задачей, но для злоумышленников она была на первом месте.

По мере того, как разворачивалась хронология событий и прогресса пандемии, менялись и тенденции атак. Бренды, на которые мы полагались во время социального дистанцирования и удаленной работы, были излюбленной маскировкой злоумышленников. Усилия по оказанию помощи и информация общественного здравоохранения использовались в качестве приманки для спама, а критические компоненты цепочки поставок вакцины подвергались нападениям. Многие из нас в цепочке поставок помнят крупные утечки данных несколько лет назад, от которых пострадали крупные розничные сети, такие как Target и Home Depot, в результате отношений с третьими лицами. Спустя почти семь лет нарушения безопасности цепочки поставок все еще попадают в заголовки газет — в связи с пандемией и, в первую очередь, нарушением безопасности SolarWinds, которое отразилось на всей отрасли в прошлом году.

Самый последний анализ оценивает среднюю стоимость утечки данных в 3,86 миллиона долларов , а крупные нарушения (50 миллионов записей или более украдены) достигают 392 миллиона долларов. Учитывая всплеск атак на цепочки поставок в 2020 году, мы можем только представить последствия, когда анализ будет обновлен (https://sinogrant.ru/).

Поэтому мы должны извлечь уроки из 2020 года, чтобы история не повторилась.

5 основных проблем безопасности цепочки поставок

Руководители цепочек поставок по всему миру и в разных отраслях говорят нам, что эти пять проблем безопасности цепочки поставок не дают им спать по ночам:

1. Защита данных. Данные лежат в основе бизнес-транзакций и должны быть защищены и контролироваться как в состоянии покоя, так и в движении, чтобы предотвратить взлом и несанкционированное вмешательство. Безопасный обмен данными также предполагает доверие к другому источнику, будь то третья сторона или веб-сайт электронной коммерции. Очень важно иметь гарантии того, что сторона, с которой вы взаимодействуете, является тем, за кого себя выдает.

2. Локальность данных. Критические данные существуют на всех уровнях цепочки поставок и должны быть обнаружены, классифицированы и защищены, где бы они ни находились. В строго регулируемых отраслях, таких как финансовые услуги и здравоохранение, данные должны собираться, храниться, управляться, использоваться и обмениваться в соответствии с отраслевыми стандартами и государственными предписаниями, которые различаются в зависимости от регионов, в которых они работают.

3. Видимость данных и управление. Деловые сети с несколькими предприятиями не только облегчают обмен данными между предприятиями, но также позволяют нескольким предприятиям получать доступ к данным, чтобы они могли просматривать, совместно использовать и сотрудничать. Участвующие предприятия требуют контроля над данными и возможности решать, с кем делиться ими и что может видеть каждая уполномоченная сторона.

4. Предотвращение мошенничества. В одном цикле «от заказа до оплаты» данные многократно переходят из рук в руки, иногда в бумажном, а иногда в электронном виде. Каждая точка, в которой данные обмениваются между сторонами или перемещаются внутри систем, представляет собой возможность для их подделки — злонамеренно или непреднамеренно.

5. Риск третьей стороны. Повседневные товары и услуги — от сотовых телефонов до автомобилей — становятся все более изощренными. В результате цепочки поставок часто зависят от четырех или более уровней поставщиков для доставки готовой продукции. Каждая из этих внешних сторон может подвергать организации новым рискам в зависимости от их способности правильно управлять своими собственными уязвимостями.

Итак, что нужно для обеспечения безопасности цепочки поставок?

Часть проблемы заключается в том, что не существует единого функционального определения безопасности цепочки поставок. Это чрезвычайно широкая область, которая включает в себя все, от физических угроз до киберугроз, от защиты транзакций до защиты систем и от снижения рисков со сторонами в непосредственной деловой сети до снижения рисков, связанных с отношениями с третьими, четвертыми и «n» сторонами. Однако растет понимание того, что безопасность цепочки поставок требует многогранного и функционально скоординированного подхода.

Лучшие практики обеспечения безопасности цепочки поставок

Безопасность цепочки поставок требует многогранного подхода. Единой панацеи не существует, но организации могут защитить свои цепочки поставок с помощью комбинации многоуровневых средств защиты. Поскольку команды, занимающиеся безопасностью цепочки поставок, усложняют злоумышленникам задачу управления безопасностью, у них появляется больше времени для обнаружения мошеннических действий и принятия мер. Вот лишь некоторые из наиболее важных стратегий, которые организации используют для управления и снижения рисков безопасности цепочки поставок.

Оценка стратегии безопасности. Чтобы оценить риски и соответствие требованиям, вам необходимо оценить существующее управление безопасностью, включая конфиденциальность данных, риски третьих сторон, а также потребности и пробелы в соблюдении нормативных требований в области ИТ, с учетом бизнес-задач, требований и целей. Ключевыми факторами являются количественная оценка рисков безопасности, разработка программ обеспечения безопасности, соблюдение нормативных требований и стандартов, а также обучение и подготовка по вопросам безопасности.

Устранение уязвимостей и тестирование на проникновение. Сначала определите основные проблемы безопасности, запустив сканирование уязвимостей. Исправление неверных конфигураций базы данных, неверных политик паролей, устранение паролей по умолчанию и обеспечение безопасности конечных точек и сетей может немедленно снизить риск с минимальным влиянием на производительность или время простоя. Наймите специалистов по тестированию на проникновение, чтобы попытаться найти уязвимости во всех аспектах новых и старых приложений, ИТ-инфраструктуры, лежащей в основе цепочки поставок, и даже людей с помощью имитации фишинга и Red Teaming.

Цифровизация и модернизация. Трудно защитить данные, если вы полагаетесь на бумагу, телефон, факс и электронную почту для деловых операций. Ключевым моментом является оцифровка основных ручных процессов. Технологические решения, которые упрощают переход от ручных бумажных процессов и обеспечивают безопасность, надежность и управление транзакциями, создают основу для безопасного перемещения данных внутри предприятия, а также между клиентами и торговыми партнерами. По мере модернизации бизнес-процессов и программного обеспечения вы можете воспользоваться преимуществами шифрования, токенизации, предотвращения потери данных, а также мониторинга и оповещения о доступе к файлам, а также привлечь команды и партнеров к обучению и повышению осведомленности о безопасности.

Идентификация и шифрование данных. Программы и политики защиты данных должны включать использование инструментов обнаружения и классификации для точного определения баз данных и файлов, содержащих защищенную информацию о клиентах, финансовые данные и служебные записи. После того как данные обнаружены, использование новейших стандартов и политик шифрования защищает данные всех типов, находящиеся в состоянии покоя и в движении — клиентские, финансовые, заказы, запасы, Интернет вещей (IoT), данные о здоровье и многое другое. Входящие подключения проверяются, а содержимое файлов проверяется в режиме реального времени. Цифровые подписи, многофакторная аутентификация и прерывание сеанса предлагают дополнительные средства контроля при транзакциях через Интернет.

Разрешенные элементы управления для обмена данными и видимости. Деловые сети с несколькими предприятиями обеспечивают безопасный и надежный обмен информацией между стратегическими партнерами с помощью инструментов для доступа на основе пользователей и ролей. Практика обеспечения безопасности при управлении идентификацией и доступом имеет решающее значение для безопасного обмена служебными и конфиденциальными данными в широкой экосистеме, а обнаружение и устранение уязвимостей снижает риск неправомерного доступа и нарушений. Мониторинг активности базы данных, мониторинг привилегированных пользователей и оповещение обеспечивают видимость для быстрого выявления проблем. Добавление технологии блокчейна в бизнес-сеть, состоящую из нескольких предприятий, обеспечивает многостороннюю видимость разрешенной, неизменной общей записи, которая подпитывает доверие по всей цепочке создания стоимости.

Доверие, прозрачность и происхождение. С платформой блокчейна после добавления данных в реестр их нельзя манипулировать, изменять или удалять, что помогает предотвратить мошенничество, аутентифицировать происхождение и контролировать качество продукта. Участники из нескольких предприятий могут отслеживать материалы и продукты от источника до конечного клиента или потребителя. Все данные хранятся в реестрах блокчейнов, защищенных с помощью самого высокого уровня коммерчески доступного устойчивого к взлому шифрования.

Управление рисками третьих лиц. По мере роста связей и взаимозависимостей между компаниями и третьими сторонами в экосистеме цепочки поставок организациям необходимо расширить свое определение управления рисками поставщиков, включив в него сквозную безопасность. Это позволяет компаниям оценивать, улучшать, отслеживать и управлять рисками на протяжении всего периода взаимоотношений. Начните с объединения своих бизнес- и технических групп с партнерами и поставщиками, чтобы определить критические активы и потенциальный ущерб для бизнес-операций в случае нарушения соответствия, отключения системы или утечки данных, которая станет достоянием общественности.

Планирование и организация реагирования на инциденты. Заблаговременная подготовка к взлому, отключению или нарушению работы, а также наличие надежного плана реагирования на инциденты имеют жизненно важное значение. Отработанные, проверенные и легко реализуемые планы реагирования и исправления предотвращают потерю доходов, ущерб репутации и отток партнеров и клиентов. Аналитика и планы предоставляют метрики и знания, которые ваша организация и партнеры могут использовать для принятия решений по предотвращению повторения атак или инцидентов.

Джонатан Райт (Jonathan Wright) является управляющим партнером и руководителем направления обслуживания в IBM Services.

<<Назад


Партнеры









Предотвращение аварий зданий и сооружений - международная конференцияКонференции, семинары, выставкиПредотвращение аварий зданий и сооружений - электронный журналБезопасность России. Безопасность строительного комплекса