Internationella cyberbyråer utfärdar vägledning i försörjningskedjan efter den senaste ökningen av cyberattacker

Förra månaden, som en del av en gemensam rådgivning, utfärdade styrande organ för cybersäkerhet från USA, Storbritannien, Australien, Kanada och Nya Zeeland officiella cybersäkerhetsvägledning för leveranskedjan för att hjälpa organisationer att hålla sin information och data säker.   

Den nya vägledningen, inriktad på att stödja medelstora till stora företag och de inom organisationer som ansvarar för risk-, informations- och cybersäkerhetshantering, kommer att hjälpa till att etablera eller förbättra organisatoriska metoder för att bedöma cybersäkerhetsrisker i leveranskedjan. 

Varför fokuserar cyberbyråer på säkerhet i försörjningskedjan

Kompromisser i leveranskedjan har nått rubrikerna i oöverträffade volymer. SolarWinds-attacken redan 2020 tycks öppna slussarna, och intrången kommer inte att sluta komma.  

Bara under den senaste månaden såg MediBank i Australien över 4 miljoner patientjournaler komprometteras och läckte online. Supeo, en leverantör till DSB, det största tågnätet i Danmark, drabbades av ett brott som fysiskt hindrade tågen från att röra sig i över två timmar. Och Chase UK drabbades av en attack som hindrade deras kunder från att komma åt deras bankapp i nästan två dagar.  

Eftersom organisationer förlitar sig på ett växande antal leverantörer för att leverera produkter, system och tjänster, ökar risken avsevärt för att sårbarheter introduceras eller utnyttjas via dessa leverantörer. Denna ökande komplexitet gör det svårt för företag att veta hur säker deras leveranskedja är och om de har tillräckligt med skydd på plats.  

I slutändan kan dessa cyberattacker ha en förödande inverkan på företag, med dyra och långsiktiga konsekvenser för berörda organisationer, deras kritiska leverantörer och deras kunder.  

Varför är det så svårt för företag att ta itu med Supply Chain Security   

Trots de väldokumenterade riskerna tappar många företag fortfarande sina leveranskedjor ur sikte. I själva verket, enligt 2022 års undersökning om säkerhetsöverträdelser, "drygt en av tio företag granskar riskerna från sina omedelbara leverantörer (13 %), och andelen för den bredare försörjningskedjan är hälften så mycket (7 %)." 

Cyberriskerna i samband med en supply chain-attack har aldrig varit högre; angripare utvecklar attackmetoder och verktyg i en allt mer alarmerande takt. Ändå, trots växande allmänhetens medvetenhet om hoten och ökad tillsyn över reglerna, hänger inte företag med.  

Enligt National Cyber ​​Security Center (NCSC), även om många organisationer förstår att deras försörjningskedja borde vara oroande, finns det fortfarande en:  

• brist på investeringar för att skydda mot denna cyberrisk 
• begränsad insyn i leveranskedjor 

• otillräckliga verktyg och expertis för att utvärdera leverantörers cybersäkerhet 
• otydlighet kring vad du bör be dina leverantörer att göra

Dessa problem gör att leveranskedjorna är utsatta och riskerar att utnyttjas av cyberbrottslingar.   

Praktiska steg för organisationer att säkra sin försörjningskedja 

Den vägledning som släppts av cybermyndigheterna delar upp det bästa tillvägagångssättet i fem nyckelsteg: 

1. Förstå varför din organisation bör bry sig om leveranskedjans säkerhet 

 Organisationer måste förstå vad som behöver skydd inom deras ekosystem och varför det behöver säkras för att etablera meningsfull kontroll över försörjningskedjan.  

I slutändan måste effektiv cybersäkerhet vara lämplig för dina system, dina processer, din personal, din kultur och den risknivå du är villig att ta.   

2. Utveckla ett tillvägagångssätt för att bedöma leveranskedjans säkerhet 

 Bestäm de kritiska aspekterna i din organisation som du behöver skydda mest (dina "kronjuveler"), med hänsyn till potentiella hot, sårbarheter, påverkan och din organisations riskaptit.  

Använd din organisations identifierade nyckelaspekter, skapa ett antal leverantörssäkerhetsprofiler i nivåer. Varje profil bör representera en ökande skala av påverkan, tilldela sedan dessa till var och en av dina leverantörer.  

3. Tillämpa metoden på nya leverantörssamtal 

Bädda in nya säkerhetsrutiner under hela kontraktets livscykel för nya leverantörer, från upphandling och leverantörsval till kontraktsstängning.   

Denna process bör också börja skapa bättre säkerhetsmedvetenhet bland din personal och skapa en kultur av pågående övervakning av efterlevnad av säkerhet och informationshantering.  

4. Integrera tillvägagångssättet i befintliga leverantörsavtal

Med ett nytt tillvägagångssätt, se över dina befintliga kontrakt antingen vid förnyelse eller tidigare när det gäller kritiska leverantörer. 

5. Ständigt förbättra

Att regelbundet förfina ditt tillvägagångssätt när nya problem dyker upp kommer att minska sannolikheten för risker som påverkar din organisation via försörjningskedjan.  

Hur ISO 27001 kan möjliggöra hållbar försörjningskedja  

ISO 27001 är en internationellt erkänd standard för informationshantering, men det handlar verkligen om riskhanterings. Och detta är vad vägledningen som släppts av NCSC, CISA, FBI, ACSC, CCCS och NZ NCSC fortsätter att återkomma till, vilket är anledningen till att arbete inom ISO 27001-ramverket kommer att leda till beteenden och säkerhetsfördelar för alla företag som vill förbättra sin cyberresiliens. och skiljer sig från sina konkurrenter.  

ISO 27001 råder företag att ha en enkel process på plats för introduktion och hantering av leverantörer. Fokusera särskilt på följande:  

• Förvaring infosec policy, rutiner och kontroller uppdaterade 
• Håller drabbade kritiska företagsinformation, system och processer 
• Se till att omvärdera eventuella identifierade risker och kontrollera att leverantörer uppfyller löpande säkerhetskrav  

Det kan tyckas vara viktigt, sunt förnuft, men det kan spara tid, pengar, skada på rykte och frustration för organisationer om det implementeras på rätt sätt. Att uppnå överensstämmelse med ISO 27001-ramverket kan dessutom erbjuda en betydande affärsfördel genom att visa dina certifierade säkerhetsuppgifter för nuvarande och framtida kunder. 

Stärk din leveranskedjas säkerhet idag  

Om du vill börja din resa mot bättre säkerhet i försörjningskedjan kan vi hjälpa dig.   

Vår ISMS-lösning möjliggör ett enkelt, säkert och hållbart förhållningssätt till informationshantering med ISO 27001, NIST och andra ramverk. Det erbjuder säkerhetsmoduler för leveranskedjan som snabbt kan antas, anpassas och läggas till över tid för att uppnå framgångsrik cybersäkerhet och bättre antagande av säkra beteenden inom din organisation. Lås upp din konkurrensfördel idag.  

Boka en demo