Gia tăng rủi ro an ninh mạng

Ngay cả khi Mạng lưới chuỗi cung ứng toàn cầu đang được xem xét để giảm bớt độ phức tạp của chúng, sự phát triển của công nghệ có nghĩa là Mạng lưới chuỗi cung ứng của tổ chức bạn có khả năng trở nên phức tạp hơn, khiến nó thậm chí còn dễ bị tấn công mạng hơn.

Việc tăng cường thúc đẩy Số hóa trong chuỗi cung ứng tiềm ẩn các mối đe dọa liên quan đến các cuộc tấn công mạng không chỉ giới hạn ở các tài nguyên phần mềm và phần cứng CNTT của công ty. Phạm vi tấn công nhắm mục tiêu vào công nghệ vận hành (OT) ngày càng tăng, có thể ảnh hưởng đến tài sản vật chất trong các cửa hàng và kho hàng trong và ngoài nước.

Các cuộc tấn công mạng phổ biến

Các doanh nghiệp nhỏ hơn (SMEs) trong chuỗi cung ứng có thể là mục tiêu tấn công do khả năng phòng thủ trên mạng của họ ở mức tối thiểu. Một cuộc tấn công với hy vọng tiếp cận được với các công ty lớn hơn trong chuỗi cung ứng. Vì vậy, tất cả các doanh nghiệp trong chuỗi cung ứng đều dễ bị tổn thương. Có hai loại tấn công mạng (nguồn: đàn hồi):

Malware: Đề cập đến phần mềm gián điệp, mã độc tống tiền, vi rút và sâu máy tính. Phần mềm độc hại xâm nhập mạng thông qua một điểm yếu, thường là do con người, khi người dùng nhấp vào liên kết độc hại hoặc tệp đính kèm email, sau đó cài đặt phần mềm có hại:

• Quyền truy cập vào các thiết bị và thành phần quan trọng bị từ chối (ransomware)
• Cài đặt vi-rút và sâu hoặc mã nguy hiểm khác
• Thu thập thông tin, bao gồm Sở hữu trí tuệ (IP) và các quy trình độc quyền, bí mật bằng cách lấy dữ liệu từ ổ cứng (phần mềm gián điệp)
• Các thành phần quan trọng bị vô hiệu hóa, hiển thị hoạt động không thể thực hiện được

Lừa đảo: Cung cấp thư giả mạo có vẻ như đến từ một nguồn đáng tin cậy, thường là qua email. Lừa đảo là một mối đe dọa mạng ngày càng tăng:

• Ăn cắp thông tin nhạy cảm như thẻ thanh toán và thông tin đăng nhập
• Cài đặt phần mềm độc hại trên PC của nạn nhân

The Chuỗi cung ứng của các doanh nghiệp thực tế ảo và kết nối với nhau bao gồm các công nghệ 'Công nghiệp 4.0' - Internet Vạn vật Công nghiệp (IIoT), người máy và tự động hóa công nghiệp. Các mạng này cũng có thể bao gồm các thiết bị cũ hơn được sử dụng trong các hoạt động Hậu cần được xây dựng trên nền tảng phần mềm độc quyền hoặc hệ điều hành cũ, có thể chứa các điểm truy cập bảo mật khả thi.

Những thách thức về mạng đối với nhóm Chuỗi cung ứng của bạn

Sự phổ biến của các ứng dụng phần mềm dưới dạng dịch vụ (SaaS) và việc sử dụng dịch vụ lưu trữ Đám mây đã cho phép mọi người làm việc hiệu quả từ mọi nơi. Công ty phân tích rủi ro đàn hồi gần đây đã công bố một báo cáo liên quan đến các cuộc tấn công mạng trong chuỗi cung ứng. Nó lưu ý rằng rủi ro không gian mạng đã tăng lên, với nhiều công việc từ xa hơn và sau đó là việc chuyển dữ liệu của công ty giữa doanh nghiệp và thiết bị di động. Rủi ro mạng liên quan đến làm việc từ xa (theo khảo sát của Alliance Virtual Offices) là những người làm việc từ xa:

• chỉ được đào tạo về an ninh mạng một lần mỗi năm hoặc ít hơn. Kiểm tra tối thiểu việc tuân thủ các quy tắc làm việc từ xa
• sử dụng các thiết bị cá nhân cho các nhiệm vụ công việc
• sử dụng các thiết bị do công việc cấp cho các nhiệm vụ cá nhân
• cho phép các bên bên ngoài sử dụng thiết bị làm việc của họ

Báo cáo cũng lưu ý rằng các doanh nghiệp có thể sử dụng dịch vụ của nhà cung cấp dịch vụ được quản lý (MSP). Tuy nhiên, một doanh nghiệp có thể vô tình đặt mình vào rủi ro do:

• Nhiều nhà cung cấp dịch vụ bảo mật bên thứ ba là các công ty mới thành lập hoặc mới thành lập có thể không có biện pháp bảo vệ nội bộ tốt nhất, tạo điều kiện cho các mối đe dọa an ninh mạng:
  • Các nhà cung cấp bên thứ ba ngày càng trở thành mục tiêu của tội phạm mạng muốn mở rộng phạm vi tấn công. Báo cáo tình báo về mối đe dọa toàn cầu năm 2022 của NTT Security Holdings
  • Tin tặc có xu hướng xác định và tấn công các dịch vụ yếu kém của bên thứ ba để trích xuất và bán dữ liệu
  • Các cuộc tấn công với hy vọng sử dụng các bên thứ ba như một bước để nhắm mục tiêu vào nhiều khách hàng hạ nguồn thông qua chuỗi cung ứng mở rộng

Tin tưởng nhưng xác minh phương pháp tiếp cận

Hiện tại, không có chuỗi hành động nào có thể bảo vệ hoàn toàn một tổ chức khỏi cuộc tấn công mạng vào chính tổ chức hoặc chuỗi cung ứng của tổ chức. Bằng cách tham gia vào chuỗi cung ứng, một doanh nghiệp kết nối với tất cả những người khác tại các Nút và Liên kết trong chuỗi. Do đó, những cải tiến được thực hiện đối với an ninh mạng của doanh nghiệp bạn sẽ củng cố an ninh của chuỗi cung ứng.

Điểm bắt đầu là thiết lập phương pháp 'tin cậy nhưng xác minh' khi xem xét tất cả những điều liên quan đến an ninh mạng. Xây dựng bức tranh về các loại dữ liệu, vị trí của dữ liệu và độ nhạy của dữ liệu trong chuỗi cung ứng. Bao gồm dữ liệu nội bộ của tổ chức bạn (cộng với các bản sao lưu) và dữ liệu mà các nhà cung cấp có quyền truy cập.

Sau đó, định lượng rủi ro vật lý và không gian mạng tại mỗi Nút và Liên kết trong Mạng. Nó xác định vị trí hoặc tài sản mà một cuộc tấn công có thể nhắm mục tiêu và chuỗi cung ứng xử lý và dữ liệu mà một cuộc tấn công có thể ảnh hưởng.

Quá trình này là một cải tiến đối với bản đồ Thiết kế Mạng lưới Chuỗi Cung ứng hiện tại của tổ chức bạn. Với Bản đồ là hướng dẫn về các thách thức an ninh mạng, có thể thực hiện các bước để giảm thiểu rủi ro tiềm ẩn:

Tạp vụ: Làm thế nào để doanh nghiệp của bạn đủ tiêu chuẩn cho các nhà cung cấp Cấp 1? Các nhà cung cấp có được đánh giá liên quan đến rủi ro an ninh mạng trong chuỗi cung ứng của họ không? Các nhà cung cấp có chương trình an ninh mạng và tuân theo nó không? Các nhà cung cấp có nên tuân thủ một bộ tiêu chuẩn và chứng nhận an ninh mạng không? Các kỳ vọng về an ninh mạng cần được ghi trong hợp đồng và biên bản ghi nhớ (MOU) để đảm bảo rằng các nhà cung cấp đang quản lý rủi ro an ninh mạng trong chuỗi cung ứng của họ.

Công nghệ vận hành yêu cầu kiểm toán từ xa để đảm bảo tính toàn vẹn của dữ liệu.

• Kiểm tra xem dữ liệu được gửi từ thiết bị IIoT có thực sự xảy ra tại địa điểm và thời gian đó không. Xác nhận từ một con chip trong thiết bị sử dụng phương trình để cung cấp chữ ký số được đính kèm với dữ liệu giao dịch
• Kiểm tra các bản cập nhật phần mềm chuỗi cung ứng, vì tin tặc có thể cài đặt phần mềm độc hại trong phần mềm từ các nhà cung cấp đáng tin cậy
• Hạn chế quyền truy cập dữ liệu và thông tin đối với các nhà cung cấp và khách hàng đã đăng ký trên cơ sở 'cần biết'

Làm việc từ xa tại địa điểm công ty hoặc tại nhà, thu được từ nhiều nguồn khác nhau:

• Chỉ các thiết bị do công ty cấp mới được sử dụng. Nếu các thiết bị riêng tư được phép, hãy chỉ định các chương trình phần mềm bảo mật được chấp nhận và thực thi việc sử dụng chúng bằng cách yêu cầu bằng chứng rằng nó đã được cài đặt
• Mỗi nhân viên nên có một danh tính kỹ thuật số trong hệ thống, để quản lý các quy tắc liên quan đến quyền truy cập dữ liệu và thông tin.on
• Xác thực hai yếu tố tại thiết bị được nhân viên phê duyệt
• Chính sách mật khẩu liên quan đến cấu trúc và thời gian cập nhật
• Thiết bị hỗ trợ nhận dạng sinh trắc học (chẳng hạn như quét dấu vân tay) để cung cấp mức độ bảo mật bổ sung
• Chỉ các ứng dụng đã được phê duyệt mới được tải sẵn
• Tải sẵn phần mềm bảo mật đã được phê duyệt
• Không có ứng dụng di động
• Chỉ giao tiếp với nhân viên công ty và các nhà cung cấp/khách hàng đã được phê duyệt
• Internet bị ngắt kết nối
• Mã hóa dữ liệu trước khi truyền để giảm thiểu rủi ro

An ninh mạng mang lại rủi ro và chi phí. Các đề xuất được liệt kê ở trên có rủi ro nếu không được thực hiện và chi phí nếu có. Không làm gì cũng có rủi ro. An ninh mạng là trách nhiệm chung giữa công ty của bạn và bất kỳ tổ chức nào tương tác kỹ thuật số với nó. Doanh nghiệp của bạn không thể thuê ngoài hoàn toàn an ninh mạng, vậy nhóm Chuỗi cung ứng của bạn sẽ làm gì?

Bài đăng trên blog này là bài đăng cuối cùng cho năm 2022. Cảm ơn tất cả những ai đã đọc blog và hy vọng sẽ cải thiện chuỗi cung ứng của họ. Learn About Logistics sẽ trở lại vào Thứ Hai, ngày 9 tháng 2023 năm XNUMX.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.learnaboutlogistics.com/for-supply-chain-groups-cyber-security-is-a-fixture/#utm_source=rss&utm_medium=rss&utm_campaign=for-supply-chain-groups-cyber-security-is-a-fixture