مجموعهای از سختافزارها و نرمافزارها استفاده میکنند که توسط تأمینکنندگان دیگری به فروش میرسند و سرویسدهی میشوند. هنگامی که شرکتی شبکهای چندلایه از تأمینکنندگان دارد، ریسکهای امنیت سایبری طرفهای ثالث نیز به ریسکهای خود آن شرکت تبدیل میشوند.
عامل دیگر استفاده از شبکههای ابری است. با رشد زنجیرههای تأمین، شرکتها بهطور فزایندهای در حال سرمایهگذاری در شبکههای تأمین پیچیدهتر و بزرگتر هستند و بار کاری خود را به شبکههای ابری عمومی یا خصوصی منتقل میکنند. این تغییر، وابستگی شرکتها را به کنترلهای امنیتی ارائهدهندگان خدمات ابری افزایش میدهد و دیدگاه شرکتها نسبت به ریسکها را کاهش میدهد.
حملههای پیچیدهتر و ابزارهای پیشرفتهتر
حملههای سایبری بهطور فزایندهای پیچیدهتر شدهاند و مهاجمان از ابزارها و تکنیکهای پیشرفتهتری برای بهرهبرداری از آسیبپذیریهای موجود در شبکههای دیجیتال استفاده میکنند. این نقاط ضعف میتوانند بسیار دشوار برای شناسایی باشند. حتی شرکتهایی که قابلیتهای امنیت سایبری قوی دارند، از طریق طرفهای ثالثی که به شبکه آنها متصلاند، بهراحتی آسیبپذیر میشوند.
یکی از پیچیدهترین نقضهای زنجیره تأمین در سال 2020 رخ داد، زیرا کد مخرب در نرمافزار SolarWinds که بهطور گسترده استفاده میشد جاسازی شد. این حمله اطلاعات هزاران شرکت خصوصی و نهاد دولتی را در ایالات متحده و اروپا فاش کرد. حمله زنجیره تأمین بهسرعت گسترش یافت زیرا بدافزار، که برای سالها شناسایی نشده بود، نرمافزاری را که برای مدیریت شبکههای سازمانهای متاثر استفاده میشد آلوده کرده و دسترسی از راه دور به سیستمها را ممکن میکرد.
یک رویکرد پیشگیرانه
با وجود رشد تعداد و پیچیدگی حملات سایبری، چالش کاهش ریسکهای شبکههای دیجیتال غیرقابل عبور نیست. شرکتهایی که رویکرد پیشگیرانه برای مدیریت امنیت سایبری زنجیره تأمین خود اتخاذ میکنند، میتوانند ریسکها و هزینهها را کاهش دهند.
چندین راهبرد برای اتخاذ یک رویکرد پیشگیرانه مؤثر شامل موارد زیر است:
- ایجاد یک برنامه مدیریت ریسک: سختترین بخش، شروع کردن است. اما داشتن یک برنامه، شرکت را بسیار جلوتر از شرکتهایی قرار میدهد که هیچ برنامهای ندارند. ابتدا با بررسی زنجیره تأمین و شناسایی نقاط ضعف که میتوان بهسرعت برطرف کرد، کار را آغاز کنید.
- توسعه برنامه بهعنوان بخشی از استراتژی کلی مدیریت ریسک: یکی از روشها برای درک درجهی آسیبپذیری شرکت، توسعه سناریوهایی برای انواع مختلف حملات سایبری به تأمینکنندگان است.
- استفاده از ابزارهای موجود: ممکن است قابلیتهای موجود در نرمافزارهای برنامهریزی منابع سازمان (ERP) و سایر سیستمهای شرکت وجود داشته باشد که میتوان از آنها برای توسعه برنامه مدیریت ریسک استفاده کرد.
- رویکرد تدریجی: در سازمانهای بزرگ، تعداد بالای طرفهای ثالث میتواند بزرگترین مانع برای اجرای یک برنامه مدیریت ریسک باشد. به جای راهاندازی همزمان برنامه برای تمام طرفهای ثالث، شرکت میتواند برنامه را بهصورت مرحلهای با اولویتبندی مناطق، واحدهای تجاری یا خطوط محصولات پیادهسازی کند.
- همکاری میان واحدها: امنیت سایبری زنجیره تأمین نمیتواند فقط توسط بخش فناوری یا ریسک بهبود یابد. همکاری میان واحدهای مختلف برای ایجاد و پیادهسازی برنامه مدیریت ریسک ضروری است.
- استفاده از دادهها برای هدایت تصمیمات: شرکتها باید روشی برای ارزیابی برنامهها پیدا کنند و در صورت لزوم آنها را اصلاح کنند.
- دریافت پشتیبانی و تعهد از رهبری ارشد: یک برنامه مدیریت ریسک امنیت سایبری فقط زمانی موفق خواهد بود که رهبران ارشد آن را اولویتبندی کرده و از آن با تأمین منابع کافی حمایت کنند.
نتیجهگیری
ریسکهای سایبری یکی از مهمترین چالشهای سازمانها در حال حاضر هستند. هزاران شرکت هر ساله در اثر نقضهای امنیتی مرتبط با طرفهای ثالث متحمل خسارتهای گرانقیمتی میشوند. زنجیرههای تأمین و شبکههای دیجیتال که دارای چندین لایه هستند، دیدگاه شرکتها را نسبت به ریسکهای خود محدود میکنند. شرکتهایی که میخواهند تابآوری زنجیره تأمین خود را بهبود بخشند باید یک برنامه مدیریت ریسک امنیت سایبری ایجاد کنند تا شیوهها و سیاستهای امنیتی طرفهای ثالث در زنجیره تأمین خود را تقویت کنند. در حالی که راهاندازی چنین برنامهای ممکن است دشوار به نظر برسد، این میتواند یک روش بسیار مؤثر برای بهبود تابآوری زنجیره تأمین و جلوگیری از نقضهای گسترده سازمانی باشد.