Mnoge kompanije nemaju vidljivost u složenim digitalnim lancima opskrbe, što znači skrivene rizike i regulatorno izlaganje. Cyber sigurnost zahtijeva kontinuirano mapiranje i angažman odbora
Od
- Tim Griefesonson
Objavljeno: 01. avgusta 2025
Mnoge organizacije još uvijek nema vidljivost u svoje digitalne lance opskrbe, ostavljajući ozbiljne ranjivosti uprkos rastućim incidentima i novim propisima poput NIS2, SEC pravila i Dora. Većina kompanija znat će s kim su potpisali ugovore. Ali zatražite potpunu listu svake softverske ovisnosti, API integracije, oblačne platforme ili biblioteke otvorenog koda koja obrađuje osjetljive podatke, a ste se sreli sa tišinom. Ta tišina je opasan i ukazuje na nedostatak dužnosti i kontrole cyber higijene.
To je zato što današnji lanac opskrbe više nije linearni niz dobavljača; To je čišćenje i složeni ekosustav usluga, platformi i skrivenih međuovisnosti. Kad se jedan od prekida tih veza, šteta ne zaustavlja u vatrozidu. Samo pitajte one koji su uhvaćeni u ispadnici iz solarnih vještina, pomaknite se, log4j ili čak i pogubne pogrešne pogreške. U svakom slučaju, jedan kompromis ili pogrešna konfiguracija vršila je prema van, utječeći na hiljade poduzeća nizvodno, koje nisu imale odgovarajuću vidljivost ranjivosti u lancu opskrbe. Pouzdanost svojim dobavljačima je jedno, znajući da je vaša izloženost riziku, potencijalni utjecaj, a otpornost su u potpunosti drugačiji.
Uprkos visokoprofilskoj prirodi ovih sigurnosnih ili konfiguracijskih incidenata, mnogim daskama i dalje podcjenjuju cyber rizik od lanca opskrbe ili još gore, pretpostavljaju da je već pod kontrolom ili mogu upravljati sami ugovornim slovima. Ipak, to nije igra krivice. Ne radi se o samozadovoljstvu, to je samo slijepo mjesto, a tu je zato što tradicionalni modeli rizika nisu dizajnirani za moderne složenosti. Većina organizacija i dalje treće sigurnosti tretiraju kao potvrdni okvir za nabavku ili godišnja vježba revizije, a ne ono što je uistinu: živa, dinamična površina napada. Šta je Samozadovoljna misle da je ovo mali tehnički izazov koji Cisosi tiho mogu da popravi. Suprotno tome, strateška je prijetnja kontinuitetu poslovanja, povjerenjem kupaca i regulatornom poštivanjem, ali kada se dobro upravlja, može postati poslovni diferenciran.
Ekosustav dobavljača je mnogo veći nego što mislite
U cybersecerialu, izraz “dobavljač” je prerasla ugovor. Sada uključuje SaaS platforme na koje se oslanjate, oblačna infrastruktura koja radi iza scena, otvorenog koda ugrađen u vaš softver, a četvrti dobavljači koji podržavaju vaše treće dobavljače. To je digitalni lanac pritvora, a svaka veza u tom lancu je potencijalna tačka izloženosti. Problem je da malo organizacija ima istinsko razumijevanje svog dobavljača ekosustava ili su u potpunosti preslikali lanac opskrbe. Oni vide vrh ledenog brijega, poput potpisanih sporazuma i proračunske tablice dubine, ali ne i ovisnosti koje vrebaju tik ispod površine.
To je često u kojem tradicionalni programi rizika od trećih trećih osoba ne padaju. Fokusiraju se na nabavku, a ne blizinu. Rizik se obično mjeri u pogledu ko kupujete iz i vrijednost transakcija umjesto koji ima pristup sistemima, podacima ili informacijama za kupce. Pa ipak, to su ove skrivene međuovisnosti koje napadači iskorištavaju. Kompromitirani API u marketinškom alatu; ranjivost u široko korištenoj biblioteci otvorenog koda; Provajder za oblak pogrešnofiguracija koja ostavlja izložene podatke o klijentima. Ovo se ponavljaju na naslovima. Ako ne možete vidjeti puni digitalni polumjer eksplozije svog ekosustava, ne možete ga osigurati. A ako ne možete objasniti taj rizik u poslovnim uvjetima, nećete dobiti podršku potrebnu za upravljanje njima.
Šta se tapija još uvijek ne vidi
Za većinu ploča, treći-party rizik se vidi kao odgovornost CISO-a, a ne zabrinutost u cijeloj kompaniji. To nije zato što ih nije briga; To je zato što niko nije prevodio tehničku složenost u “uticaj” ili posledice na koje se mogu odnositi. Odbori ne trebaju listu dobavljača ili presaka koji se koriste komponente otvorenog koda u kojim sustavima. Moraju znati šta se događa ako neko od njih ne uspije. Kakav je potencijalni ispadanje i uticaj? Koliko je kupca vjerovatno utjecalo? Koje će troškove biti u pogledu prekida rada, povjerenja ili izlaganja usaglašenosti? Dok ti odgovori nisu jasni, rizik ekosustava i dalje je apstraktan i da bude fer prema odborima, “Sažetak” je teško dati prioritet.
Dakle, sigurnosni timovi su pogodili zid. Oni su učinili tehničko mapiranje, označili su zabrinutost i pokrenuli procjene, ali poruka još uvijek ne slijedi. Zašto? Jer je umotan na jezik koji se nije promenio otkad je napustio IT odeljenje. Da bi rizik lanca opskrbe rezonirao na nivou ploče, potrebno je prič. A “Šta ako” scenarij utemeljen u stvarnim operacijama poslovanja. Šta ako mali dobavljač koji podržava vaš sistem fakturiranja prekrši se? Šta ako dobavljač oblaka pokrene vaš analitički cjevovod ima prekid? Što ako biblioteka koda vaš proizvod ovisi pogodak u nultu dan? Ovo su razgovori koji premještaju sigurnosnu sigurnosnu sigurnost u “Lijepo je imati” stupac i u budžetsku kolonu.
Uredba bez granica
Rizik treće strane je sada pitanje upravljanja. Prema okvirima poput NIS2 i DOORA, organizacije se održavaju izravno odgovorno za cingberburity držanje svog digitalnog lanca opskrbe. To uključuje dobavljače, pružatelje usluga i u nekim slučajevima, četvrte strane. Nije dovoljno da se pokrene godišnja procjena i podnosi ga. Ovi propisi zahtijevaju kontinuirani nadzor, demonstriranu dubinsku provjeru i, presudno, sposobnost prenošenja izloženosti riziku pravovremeno, transparentan način. Finansijska kazna za neusklađenost su heftty. Za Doru je do 10 miliona eura ili 2% godišnjeg prometa ovisno o tome što je veće. Ali reputacijski trošak je takođe visok.
Ali evo gde stvari postaju malo škakljivo: regulatorni krajolik nije ujednačen. Globalne organizacije moraju se kretati po patchwork ovim obvezama, od Cyber-ovih odluka o objavljivanju u SAD-u do izvršenja GDPR-a u EU i mandatima specifičnim za regije u Azijsko-pacifiku. Jedna proračunska tablica za svaku regiju ili jednu reviziju godišnje, neće ga preseći. Smart potez je izgraditi jedinstveno držanje rizika koje se usklađuje sa duhom ovih propisa, a ne samo pismo. Počnite sa udarcem: koji dobavljači mogu poremetiti vaše poslovanje ako su ugroženi? Koje zavisnosti izlažu podatke o klijentima ili operativni kontinuitet? Ako možete odgovoriti na ta pitanja s povjerenjem, poštivanje postaje prirodno nužno, a ne brzo otkucavanje kutije.
Vidljivost je bila luksuz. Sada je to temelj sigurnosti, kontrole i kontinuiteta u širenju digitalne ekonomije.
Tim Griefeson je glavni službenik za sigurnost u stvarimarecon.
Pročitajte više o upravljanju IT rizikom
-
Procijenjeno 96% sektora EMEA finansijskih usluga nije spremno za Doru
Napisao: Brian McKenna
-
Sigurnosne slabosti treće strane prijete velikim bankama u Evropi
Napisao: Karl Flinders
-
Vrijeme je da se uhvatite sa Dorom
-
Šta je na zemlji podatkovni lini?
Napisao: Brian McKenna