Сложность современной цепочки поставок
Сегодня федеральное правительство использует широкую и многостороннюю сеть поставщиков для закупки инфраструктуры, оборудования и других необходимых товаров. Государственные учреждения работают с множеством партнеров по производству и логистике, чтобы обеспечить поставку необходимых ресурсов, от процессоров для систем управления воздушным транспортом до ноутбуков для удаленно работающих сотрудников, а также многого другого. Каждый узел и каждое соединение в глобальной цепочке поставок связаны с потенциальными существенными рисками для безопасности.
Злоумышленники видят эти риски как возможности. Получив доступ, они могут саботировать, красть или модифицировать физические и цифровые товары из законного источника и использовать их в качестве скрытых точек входа или для сбора разведывательной информации. Сложность современных цепочек поставок открывает много возможностей для получения доступа. Злоумышленники используют сложные стратегии, программное обеспечение с требованием выкупа, инструменты фишинга и многие другие средства для обхода защиты и достижения своих целей.
Цепочки поставок для производства и разработки также стали более сложными. Организации работают с множеством сторонних партнеров по поставке любого количества компонентов, а также транспортных услуг и услуг управления логистикой. Для государственных учреждений это означает, что риски не ограничиваются той компанией, с которой они работают.
Усложнение современных угроз в сочетании со сложностью глобальной цепочки поставок создает реальные проблемы для безопасности и управления рисками в государственных учреждениях.
Важность безопасной цепочки поставок
Что происходит при нарушении безопасности государственной цепочки поставок? Это первый шаг на пути к любым нежелательным результатам: от кражи важных и конфиденциальных данных до отключения жизненно важных государственных услуг.
В цифровом мире цепочка поставок стала более уязвимой, чем когда-либо ранее. Поэтому так важно внедрять формальные программы для управления рисками цепочки поставок, чтобы снизить риски и отпугнуть злоумышленников. Наборы кибербезопасности, системы управления складами, решения мониторинга логистики, решения для отслеживания ресурсов и другие инструменты помогут вам защитить вашу организацию.
Существующие угрозы для цепочки поставок
Быстрое внедрение удаленной работы повышает риски для цепочки поставок и существенно увеличивает уязвимость многих государственных учреждений. Удаленные работники обычно используют сети, которые не контролируются ИТ-отделом, за счет чего требования к безопасности снижаются. Пользователи проводят больше времени онлайн, что повышает их уязвимость для рисков.
В условиях новых вызовов при управлении цепочками поставок и обеспечении их безопасности необходимо учитывать более широкий спектр физических и цифровых угроз. Цепочки поставок федерального правительства должны быть готовы к разнообразным атакам любых злоумышленников, включая хакеров из враждебных государств, преступников, хактивистов, инсайдеров и недовольных, желающих посеять хаос.
Для достижения своих целей злоумышленники могут использовать любые физические и цифровые тактики
Физические угрозы
- Кража и взлом устройств, оборудования и материалов
- Несанкционированная модификация устройств для злонамеренных целей
- Поддельные или контрафактные товары
Цифровые угрозы
- Добавление вредоносного ПО в производственный процесс или заражение компонентов программного комплекса
- Фишинг, программы-вымогатели, ботнеты и другие распространенные кибератаки, нацеленные на пользователей
- Атаки на ИТ-сети и другую цифровую инфраструктуру
- Взлом сторонних облачных сервисов для получения несанкционированного доступа
Лучшие практики создания безопасной цепочки поставок
Государственные учреждения сосредоточены на повышении безопасности своих цепочек поставок. Многие из них имеют отдельные группы по защите цепочки поставок. Основной приоритет заключается в обеспечении более комплексного представления угроз, включая физические, цифровые и основанные на человеческом факторе. Итоговая цель заключается в том, чтобы эффективно обобщать информацию и определять закономерности атак. Благодаря улучшенному мониторингу в цепочке поставок государственные учреждения получают больше информации о новых рисках.
Полная видимость данных и аналитика
Комплексный подход к данным безопасности цепочки поставок позволяет менеджерам по рискам цепочки поставок более предметно разговаривать с другими заинтересованными лицами, включая специалистов по кибербезопасности, сотрудники отделов физической безопасности и работники кадровой службы. Углубление совместной работы и взаимодействия между ними очень важны.
Услуги по анализу угроз помогают оставаться в курсе последних закономерностей в атаках и применяемых злоумышленниками методов. Многие поставщики ищут способы поделиться информацией и защитить свои отрасли от угроз.
Подход к безопасности с нулевым доверием
Безопасность с нулевым доверием быстро становится новым стандартным подходом Сотрудникам и партнерам предоставляется доступ только к тому, что необходимо им для работы, и ни к чему больше. Этот ограниченный подход к выдаче привилегий доступа помогает бороться с растущим количеством угроз и направлений атак в цепочке поставок. Использование подхода с нулевым доверием может улучшить управление рисками информационной безопасности в вашем учреждении.
Сертификация и проверка третьих сторон
Многие учреждения стремятся следовать стандартам безопасности цепочки поставок. чтобы защитить свои активы. Программы сертификации, такие как ISO28000 и ISO27001, или применение принципов кибербезопасности NIST могут обеспечить принятие правильных мер для предотвращения и быстрого устранения угроз. Внешняя проверка и продуманный внутренний контроль могут помочь обеспечить соблюдение норм и содействовать повышению эффективности сертификации.
Постоянная тщательная оценка
Тщательная проверка необходима на каждом узле глобальной цепочки поставок и должна включать заблаговременную оценку и полный и непрерывный аудит всех партнеров по цепочке поставок. Контракты можно использовать для подкрепления соглашений и стандартизации ожиданий поставщиков. Аудит позволяет контролировать выполнение поставщиками их обязательств. Также важно принимать надлежащие меры по устранению проблем в случае их обнаружения и тщательному отслеживанию исполнения этой задачи. Практики реагирования и устранения проблем необходимо включить в существующие программы управления поставщиками и повышения качества. В основе любых отношений в цепочке поставок должны лежать прозрачность и доверие.
Приверженность Intel безопасности в цепочках поставок
Для корпорации Intel безопасность всегда является важнейшим приоритетом. Мы предлагаем решение Intel Transparent Supply Chain (Intel TSC), которое позволяет лучше контролировать и отслеживать аппаратные компоненты, микропрограммное обеспечение и системы на базе определенных платформ Intel®. Оно позволяет получать детализированные данные о цепочке ответственности за устройства и гарантировать отсутствие несанкционированного доступа к вашим ресурсам.
В дополнение к предлагаемому решению Intel TSC мы приняли меры по укреплению безопасности нашей собственной цепочки поставок. Мы используем при работе с нашими поставщиками принципы управления рисками, основанные на лучших практиках и отраслевых стандартах в различных сферах, от проектирования, услуг и управления интеллектуальной собственностью до управления складами и логистикой. Наша программа включает правила отбора поставщиков с учетом применяемых ими практик и программ безопасности, регулярную оценку риска поставщиков, прописанные в договорах меры защиты от контрафакта, аудит на месте и мониторинг кибербезопасности в реальном времени. Все эти возможности интегрированы в наши стандартные практики управления работой с поставщиками, что позволяет нам получать более полную информацию о нашей работе и быстро выявлять аномалии и риски.