باج افزار بزرگترین تهدید برای زنجیره تامین در ذهن متخصصان فناوری اطلاعات است
باج افزار بزرگترین تهدید برای زنجیره تامین در ذهن متخصصان فناوری اطلاعات است
بر اساس نظرسنجی منتشر شده توسط ISACA، انجمن متخصصان فناوری اطلاعات با 140000 عضو در 180 کشور، امروزه باج افزار تنها بزرگترین خطر زنجیره تامین است که سازمان ها با آن مواجه هستند.
این نظرسنجی، بر اساس پاسخهای بیش از 1300 متخصص فناوری اطلاعات با بینشهای زنجیره تامین، نشان داد که تقریباً سه چهارم (73٪) پاسخدهندگان گفتند که باجافزار نگرانی اصلی در بررسی ریسکهای زنجیره تامین برای سازمانهایشان است.
سایر نگرانیهای اصلی شامل اقدامات ضعیف امنیت اطلاعات توسط فروشندگان (66%)، آسیبپذیریهای نرمافزار (65%)، ذخیرهسازی دادههای شخص ثالث (61%) و ارائهدهندگان خدمات شخص ثالث یا فروشندگان با دسترسی فیزیکی یا مجازی به سیستمهای اطلاعاتی یا نرمافزار است. کد یا IP (55%).
نگرانی فزاینده باج افزار ممکن است به این دلیل باشد که می تواند تأثیر موجی بر سازمان داشته باشد.
کریس توضیح داد: «اول، این خطر وجود دارد که مهاجم یک مسیر حمله به سازمان را از یک فروشنده یا نرمافزار در معرض خطر پیدا کند، همانطور که در حملات SolarWinds و Kaseya مشاهده شد که تعداد زیادی از قربانیان پاییندست را در این زنجیره تأمین تحت تأثیر قرار دادند. . کلمنتز، معاون مهندسی راه حل ها در Cerberus Sentinel، یک شرکت مشاوره امنیت سایبری و تست نفوذ در اسکاتسدیل، آریزونا.
او ادامه داد: “پس از آن، اثرات ثانویه وجود دارد، جایی که یک باند باج افزار ممکن است داده های ذخیره شده در یک ارائه دهنده شخص ثالث را بدزدد و با تهدید به انتشار عمومی آنها در صورت عدم پرداخت باج، سعی در باج گیری از هر دو سازمان داشته باشد.”
او به TechNewsWorld گفت: «روی دیگر سکه این است که یک حمله باجافزاری به زنجیره تأمین یک سازمان میتواند باعث اختلال عملیاتی قابلتوجهی شود، اگر شخص ثالثی که به آن متکی هستید به دلیل حمله سایبری نتواند خدمات ارائه کند».
رهبر جهل
این حملات به زنجیره تامین نرم افزار می تواند اثر موجی بر زنجیره تامین فیزیکی داشته باشد. اریک کرون، مدافع آگاهی امنیتی KnowBe4، ارائهدهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا، خاطرنشان میکند: «باجافزارها وقتی سیستمهایی که تولید و توزیع کالاها و خدمات را مدیریت میکنند، قطع میشوند، به اختلالات قابلتوجهی در زنجیره تأمین از قبل مشمول مالیات کمک میکنند».
او به TechNewsWorld گفت: «این میتواند بر سفارش و ردیابی موجودی مواد مورد نیاز برای ساخت اقلام تأثیر بگذارد، بر ردیابی وضعیت اقلام مورد نیاز برای تکمیل سفارشها تأثیر بگذارد و مشکلات لجستیکی در تحویل مواد به مشتریان ایجاد کند که منجر به کمبود در مشتریان آنها شود».
او افزود: «در دنیایی که بهموقع انجام میشود، هرگونه تأخیر میتواند زنجیره تأمین را از بین ببرد و افراد بیشتری را در این مسیر تحت تأثیر قرار دهد».
نزدیک به یک سوم از متخصصان فناوری اطلاعات مورد بررسی (30٪) نشان دادند که رهبران سازمان خود درک کافی از ریسک زنجیره تامین ندارند. راب کلاید، مدیر هیئت مدیره ایزاکا به TechNewsWorld گفت: «این واقعیت که تنها 30 درصد بود تا حدودی دلگرم کننده بود. “چند سال پیش این تعداد بسیار بیشتر بود.”
کلمنتز گفت: “من فکر می کنم بسیاری از ناآگاهی ها صرفاً از دست کم گرفتن تعداد وابستگی ها و اهمیت آنها برای عملیات سازمان ناشی می شود.”
«اغلب این ابزارهای شخص ثالث، به دلیل ماهیت خود، به حقوق اداری برای بسیاری از دستگاههای مشتری، اگر نه همه، نیاز دارند که با آنها تعامل دارند، به این معنی که تنها یک توافق از سوی این فروشندگان ممکن است برای به خطر انداختن کامل محیطهای مشتریانشان کافی باشد. ”
او ادامه داد: “به همین ترتیب، اغلب ناآگاهی از میزان وابستگی بسیاری از سازمان ها به فروشندگان شخص ثالث وجود دارد.” قطع شدن.» .
رگ بدبینانه
حتی در شرایطی که رهبران خطرات زنجیره تامین خود را درک میکنند، در مورد امنیت اشتباه نمیکنند. کیسی بیسون، رئیس روابط محصول و توسعه دهندگان در BluBracket، یک شرکت خدمات امنیت سایبری در منلو پارک، کالیفرنیا، خاطرنشان کرد: در شرایطی که شرکت ها باید بین امنیت و رشد یکی را انتخاب کنند، هر بار که می بینید آنها رشد را انتخاب می کنند.
او به TechNewsWorld گفت: “این به خطر افتادن مشتریان آنها است. این به ضرر خود شرکت است.” “اما به طور فزاینده ای، ما شروع به مشاهده مسئولیت این انتخاب ها توسط مدیران عامل می کنیم.”
نظرسنجی ISACA همچنین منبعی قوی از بدبینی در میان متخصصان فناوری اطلاعات در مورد چشم انداز امنیتی زنجیره تامین آنها یافت. تنها 44 درصد نشان دادند که به امنیت زنجیره تأمین سازمان خود اطمینان بالایی دارند، در حالی که 53 درصد انتظار دارند مشکلات زنجیره تأمین در شش ماه آینده ثابت بماند یا بدتر شود.
منبع: ISACA | آشنایی با آسیب پذیری های زنجیره تامین | گزارش تحقیقات جهانی 2022
یکی از شگفتانگیزترین یافتههای این نظرسنجی این بود که 25 درصد از سازمانها گفتند که در 12 ماه گذشته یک حمله زنجیره تامین را تجربه کردهاند. کلاید گفت: «فکر نمیکردم به این ارتفاع نزدیک باشد.»
اگرچه بسیاری از سازمانها در 12 ماه گذشته حملات سایبری داشتهاند، من فکر نمیکردم که تعداد زیادی آنها را به مشکل زنجیره تامین نسبت دهند. اگر این سوال را چندین سال پیش میپرسیدیم، تعداد بسیار پایینی بود.
در همین حال، بیش از هشت نفر از هر 10 کارشناس فنی (83٪) گفتند که زنجیره تامین آنها به حاکمیت بهتری نسبت به اکنون نیاز دارد.
اندرو هی، مدیر اجرایی Lares، یک شرکت مشاوره امنیت اطلاعات در دنور، گفت: «روشی که ما امروز سعی میکنیم تا شرکای زنجیره تأمین را تأیید کنیم، کارساز نیست.
او به TechNewsWorld گفت: «یا ما یک نتیجه تصادفی بر اساس دادههای نظرسنجی خارجی و اطمینان مبتنی بر IP ایجاد میکنیم، یا سعی میکنیم آنها را مجبور کنیم 100 سؤال یا بیشتر را در یک صفحه گسترده پر کنند. هیچ یک از آنها به درستی نشان نمی دهد که موسسه چقدر امن است.
حسابرسی مورد نیاز است
مایک بارکین، مهندس فنی ارشد در Vulcan Cyber، ارائهدهنده SaaS پردازش ریسک سایبری سازمانی در تلآویو، اسرائیل، خاطرنشان کرد که عوامل متعددی هنگام تلاش برای ایمن کردن زنجیره تامین نقش دارند.
او به TechNewsWorld گفت: «سازمانها فقط در محیط خود دید کامل دارند، به این معنی که باید به تأمینکنندگان خود اعتماد کنند که بهترین شیوهها را دنبال میکنند». این بدان معناست که آنها باید موارد احتمالی را در مواقعی که تامینکننده شخص ثالث در معرض خطر قرار میگیرد شامل شوند یا فرآیندی ایجاد کنند که آسیبهایی را که در صورت وقوع این اتفاق میافتد به شدت محدود میکند.
او ادامه داد: «زمانی که یک سازمان برای جبران کمبودها یا اختلالات نیاز دارد با چند فروشنده سر و کار داشته باشد، پیچیده تر است. حتی با ابزارهای مدیریت ریسک مناسب، حساب کردن همه چیز در بازی ممکن است دشوار باشد.
کرون افزود که باید به تامین کنندگان اعتماد وجود داشته باشد. با این حال، اگر حاکمیت برای تأیید آنچه سازمان ها به ما می گویند، به جای اعتماد به پاسخ های پرسشنامه افزایش یابد، باید یک سیستم حسابرسی ایجاد شود.
او گفت: «این امر ناگزیر منجر به افزایش هزینهها میشود، چیزی که بسیاری از سازمانها سخت تلاش میکنند تا حد امکان پایین نگه دارند تا رقابتی باقی بمانند.»
او گفت: «در حالی که ممکن است توجیه این امر برای سیستمهای حساس دولتی یا نظامی آسانتر باشد، اما میتواند برای تامینکنندگان سنتی فروش سختی باشد.» علاوه بر چالشها، تحمیل حاکمیت بر تامینکنندگان خارجی کالا و مواد ممکن است دشوار یا غیرممکن باشد. این چالش آسانی نیست و برای مدتی موضوع بحث باقی خواهد ماند.»