Ein 10-Punkte-Leitfaden zum Aufbau der Cybersicherheit in der Lieferkette

Da globale Lieferketten zunehmend digitalisiert werden, sind Unternehmen Risiken aus zig indirekten Quellen ausgesetzt. Ein System ist nur so stark wie sein schwächstes Glied, und Hacker werden akribisch auf die Suche nach einer anfälligen Komponente gehen.

Diese Ausbeutung hat einen hohen Preis. Laut dem IBM Security Cost of Data Breach Report betragen die durchschnittlichen Gesamtkosten einer Sicherheitsverletzung 5,52 Millionen US-Dollar für Unternehmen mit mehr als 25.000 Mitarbeitern und 2,64 Millionen US-Dollar für Unternehmen mit weniger als 500 Mitarbeitern. Die meisten Unternehmen zahlen Hackern das Lösegeld, das sie verlangen. Diesen Sommer zahlten Colonial Pipeline Co. und JBS SA Hackern 4,4 Millionen US-Dollar bzw. 11 Millionen US-Dollar, um verschlüsselte Daten nach massiven Cyberangriffen wiederherzustellen.

Weitere Auswirkungen sind ein gestörter Kundenservice, ein untergrabenes Vertrauen und der Verlust von Wettbewerbsvorteilen.

Cyberkriminelle umgehen Barrieren und identifizieren Schwachstellen, um Lieferketten effektiver als je zuvor auszunutzen. Im Fall von Colonial Pipeline missbrauchten Hacker ein älteres Virtual Private Network (VPN)-Profil, das nur eine Ein-Faktor-Authentifizierung erforderte.

Angriffe lähmen nicht nur Unternehmen, sondern schaden auch Kunden. Achtzig Prozent der Verstöße betreffen persönlich identifizierbare Informationen (PII). Hacker verwenden PII und Passwörter, um auf die verschiedenen Konten einer Person im Internet zuzugreifen. Darüber hinaus wirkt sich jede Unterbrechung in einer Lieferkette – egal ob es sich um Ihr Unternehmen oder Dritt- oder Viertanbieter handelt – sich auf die Produktion von Waren und Dienstleistungen aus und treibt gleichzeitig die Preise in die Höhe.

Im CrowdStrike Security Report – einer Umfrage unter mehr als 1.000 Teilnehmern – gaben zwei Drittel der leitenden IT-Entscheidungsträger und Cybersicherheitsexperten an, dass ihre Unternehmen einen Angriff auf die Software-Lieferkette erlebt hatten. Die gleiche Zahl räumte ein, dass ihr Unternehmen nicht ausreichend vorbereitet ist, um sich gegen einen zukünftigen Verstoß zu wehren. Unternehmen müssen proaktiv sein und sich auf den Aufbau von Cyber-Resilienz konzentrieren, um Ausbeutung zu verhindern.

Das National Institute of Standards and Technology (NIST), ein Teil des US-Handelsministeriums, empfiehlt die folgenden Schritte zum ordnungsgemäßen Schutz von IT-Assets.

Identifikation

Lokalisieren Sie potenzielle Bedrohungsvektoren – Wege, die böswillige Angriffe nehmen können, um Ihre Abwehrmechanismen zu überwinden und Ihr Netzwerk zu infizieren –, indem Sie interne Risiko- und Schwachstellenanalysen durchführen. Ziehen Sie in Erwägung, ein Unternehmen zu beauftragen, eine erweiterte Bewertung durchzuführen.

Schutz

Ergreifen Sie die erforderlichen Maßnahmen, um Ihr Unternehmen zu schützen und Bedrohungsereignisse zu verhindern:

• Belichtungsreduzierung. Neben dem grundlegenden Schutz durch Firewalls und Antivirensoftware ist es wichtig, privilegierte Zugriffsverfahren einzurichten. Befolgen Sie das Prinzip der geringsten Berechtigung – nur Mitarbeiter, die Zugriff auf sensible Daten benötigen, haben Zugriff.

Tools wie Verhaltensanalysen, Endpunkterkennung und -reaktion (EDR), künstliche Intelligenz (KI) und Bedrohungsdaten können die Abwehr stärken. Unternehmen sollten sichere Codierungspraktiken anwenden und sich auf das Open Web Application Security Project (OWASP) Top Ten Web Application Security Risks beziehen.

• Mitarbeiterengagement und Schulung. Mitarbeiter sind die letzte Verteidigungslinie in der Cybersicherheit und einer der häufigsten Bedrohungsvektoren. Es ist wichtig, jeden Mitarbeiter zu engagieren; Die Executive Suite ist nicht ausgenommen. Etablieren Sie bei den Mitarbeitern eine Kultur des gesunden Misstrauens. Dieser Ansatz mag zu paranoid erscheinen, aber es kann viel auf dem Spiel stehen.

Veranstalten Sie Sensibilisierungsschulungen und interne Phishing-Kampagnen, um Mitarbeiter mit den neuesten Spam- und Social-Engineering-Techniken vertraut zu machen. Jeder Mitarbeiter, der auf eine Phishing-Kampagne hereinfällt, sollte umgehend zu einer Schulung aufgefordert werden. Schaffen Sie eine starke Passwortkultur, in der Mitarbeiter unterschiedliche und sichere Passwörter haben. Stellen Sie sicher, dass sie verstehen, dass es für Hacker möglich und relativ einfach ist, es für andere Konten zu verwenden, die mit derselben E-Mail verknüpft sind, wenn ein Passwort an einer Stelle verletzt wird.

Es stehen unzählige hilfreiche (und kostenlose) Cybersicherheitsressourcen zur Verfügung, um das Lernen der Mitarbeiter zu ergänzen und die Mitarbeiter über die neuesten Branchentrends auf dem Laufenden zu halten, wie z. B. die virtuellen Schulungsmodule des US-Heimatministeriums Sicherheit.

• Versicherung. Stellen Sie sicher, dass Sie im Falle eines Angriffs ausreichend versichert sind. Einige Versicherungsanbieter bieten Ransomware-Schutz. Erkundigen Sie sich, welche Dinge bei einem Cyberangriff nicht abgedeckt sind.
• Physische Sicherheit . Schützen Sie Personal, Hardware, Software, Netzwerke und Daten vor unbefugtem Eindringen und Handlungen. Ziehen Sie Lösungen wie Überwachungskameras, Sicherheitspersonal, Sicherheitssysteme, Schranken, Schlösser, Zugangskarten, Feuermelder, Sprinkler und andere Systeme zum Schutz von Mitarbeitern und Eigentum in Betracht.

Vorsicht vor Huckepack. Jemandem, der mit vollen Händen das Büro betritt, die Tür offen zu halten, mag höflich erscheinen, stellt jedoch eine Sicherheitsbedrohung dar. Stellen Sie sicher, dass jeder, der das Firmengelände betritt, autorisiertes Personal ist.

• Selektive Geschäftsbeziehungen . Cyberangriffe über Lieferantennetzwerke werden immer häufiger. Laut der Cyber ​​Resilient Organization Study 2020 des Ponemon Institute geben 56 % der Unternehmen an, von einem Drittanbieter eine Cybersicherheitsverletzung erlebt zu haben. Seien Sie bei der Bestimmung eines akzeptablen Risikoniveaus bei der Auswahl von Auftragnehmern oder Partnern für die Zusammenarbeit mit Ihrem Unternehmen selektiv.
• Vorfallmeldung . Schaffen Sie eine gute Kultur und Bildung für die Meldung von Vorfällen. IT-Experten sind eher in der Lage, potenzielle Schäden zu reduzieren, wenn sie früher davon erfahren.

Erkennen

Es wurde gesagt, dass ein Haus ohne Rauchmelder dasselbe ist wie ein Netzwerk ohne Überwachung. Die kontinuierliche Überwachung von Sicherheitsereignissen sollte physische Umgebungen, Netzwerke, Dienstanbieter und Benutzeraktivitäten umfassen. Schwachstellen-Scans sind ein großartiges Werkzeug und sollten regelmäßig auf Systemen mit sensiblen Informationen durchgeführt werden.

Antwort und Erholung

Zwischen der Reaktionszeit und den Kosten eines Angriffs ist ein Zusammenhang ersichtlich. Branchen, deren Erkennung, Reaktion, Reaktion und Behebung am längsten dauert, verursachen die höchsten Kosten. Eine schnelle Reaktion kann helfen, die Auswirkungen zu mildern. Dennoch kann es die Möglichkeit nicht ausschließen, daher liegt der Schwerpunkt immer auf der Prävention.

Ein Disaster-Recovery-Plan ist entscheidend für die Wiederherstellung des Datenzugriffs und der IT-Infrastruktur nach einer Katastrophe. Die Wiederherstellung hängt vom Umfang des Schadens ab.

Entwerfen Sie einen Reaktionsplan und eine Roadmap zur Abhilfe für alle potenziellen Vorfallsszenarien in Form eines Business-Continuity-Plans. Beziehen Sie Taktiken ein, die das Unternehmen während einer Katastrophe betriebsbereit halten. Bestimmen Sie die Kritikalität des Anbieters und eine Vorgehensweise, wenn wichtige Anbieter angegriffen werden. Stellen Sie Backup-Anbieter und Backups für Ihre Backups ein, falls Sie zu einem anderen Anbieter wechseln müssen, um Kunden zu bedienen.

Als Teil eines effektiven Disaster-Recovery-Plans wird empfohlen, mindestens einmal im Jahr eine Cybersicherheitsverletzung zu simulieren. Durch diese Übungen verstehen die zuständigen Mitarbeiter ihre Rolle und die einzuhaltenden Verfahren.

Cybersicherheit wird ein wichtiges Hindernis für Unternehmen jeder Größe sein, da die Lieferketten komplexer werden. Identifizieren Sie schwache Glieder in der Lieferkette, um sicherzustellen, dass Schwachstellen minimiert und Bedrohungsereignisse verhindert werden. Der Aufbau von Cyber-Resilienz bereitet Ihr Unternehmen auf ein Worst-Case-Szenario vor, das ansonsten teurer und schädlicher wäre.

Marc Lewis ist Head of Information Security bei Visible Supply Chain Management.