カジノサイト
サプライ チェーンのリスク管理をデータを超えて拡大
サイバーセキュリティのリーダーは、次の大きな脅威を軽減する方法を常に模索しています。近年、この分野ではサプライ チェーンのリスク管理慣行が台頭しており、当社のデータを保管しているベンダー、または当社のシステムにアクセスしているベンダーがそのデータを保護するために何をしているかに注目しています。
そのために、の開発が行われてきました。(SBOM)。これらの SBOM はソフトウェアの栄養情報として機能し、ソフトウェア コンポーネントを構成する要素をリストし、ソフトウェアの脆弱性によるリスクを軽減するための次の革命として賞賛されています。ログ4j。
SBOM を中心とした開発は興味深いものであり、サイバーセキュリティ リスクを軽減するには継続的な改善が肝心です。この分野は、クラウド サービスやソフトウェア プロバイダーなどのベンダー リスク管理とともに拡大します。
その拡大は、私たちが使用するソフトウェアから企業が依存する物理的素材、そして私たちが食べる食品に至るまで、サプライチェーンの回復力が復活しつつある時期に起こっています。 2020年には、新型コロナウイルス感染症(COVID-19)のパンデミックによるロックダウンにより、必要な資材を入手できず、多くの企業が経営に苦戦した。しかし、世界が再開するにつれ、入荷待ち、工場の閉鎖、紛争がすべて企業のサプライチェーンに影響を及ぼしています。
攻撃者がビジネス データだけでなく新たな攻撃手段に焦点を当てているため、すべてのベンダーのサプライ チェーンのサイバー リスクに注目することが不可欠であると思われます。原材料、商品の輸送、そして私たちが毎日使用するツールやテクノロジーのメーカーを提供する組織のサイバー環境の強化をサポートすることも、このプロセスの一部である必要があります。ベンダーのリスク管理が発展し、成熟するにつれて、これらの製品のベンダーとそのサイバー衛生を考慮する必要があります。これは大規模な事業運営だけの問題ではなく、事業の継続性に関するサイバーセキュリティの問題でもあります。
たとえば、2021 年にシスコは 1 年の遅れを報告しましたそして彼らは一人ではありませんでした。多くのテクノロジー プロバイダーでは、次の理由により 6 ~ 8 か月、あるいはそれ以上の遅延が発生していました。半導体供給問題。オペレーショナル テクノロジー (OT) のハードウェア プロバイダーでも、現在は まで遅れています。、それ以上ではないにしても。重要なインフラストラクチャや製造システムにとって、これらのコンポーネントはシステムを安全かつスムーズに実行し続けるために不可欠です。持っていない場合環境にかなりの脆弱性が生じる可能性があり、最悪の場合、業務が完全に停止される可能性があります。
受注残、工場閉鎖、紛争はすべて企業のサプライチェーンに影響を与えています。
部品の生産の遅れだけが懸念事項ではありません。物資が企業や米国各地にどのように届くのかを見てみると、サプライ チェーンに沿った当社の事業継続に対する別の脅威があることがわかります。
ロサンゼルス港では毎日 4,000 万件の攻撃がネットワーク上で発生しており、そのほとんどがロシアと東ヨーロッパからのものです。この港は世界で最も忙しい港の一つで、毎年2,500億ドル以上の貨物を扱っているが、2020年にはパンデミックの影響で遅延が発生し、貨物の放出を待つ船舶の滞留が生じた。小規模なサイバーインシデントであっても、貨物の荷降ろしに、同等かそれ以上の遅延が発生する可能性があります。
陸上では鉄道毎年約 17 億トンの原材料が米国中を移動しています。港湾システムと同様に、鉄道でも遅延を引き起こした侵入またはトラックシステムの。
サイバーセキュリティ事故によりこれらのシステムが侵害された場合、業務運営に必要な物資が大幅に遅れる可能性があります。水道システム用の化学物質、木材、鉄鋼、石油、その他の製造原料が停止される可能性があります。サイバー攻撃後にネットワークを即座に復元できないことは周知の事実です。組織によっては、復旧に数日、数週間、または数か月かかる場合もあります。
2022 年 10 月、米国運輸保安局 (TSA) は、貨物および旅客鉄道運送業者用。この指令では、特定の通信事業者に対し、IT システムが侵害された場合でも OT システムが安全に動作し続けることを保証するためのネットワーク セグメンテーション ポリシーと制御を開発すること、またその逆の場合も同様であること、また、システムに対する脅威を検出するための継続的な監視と検出のポリシーと手順を作成することなどの要件を求めています。
一部のセクターはこれらのサイバーとサプライチェーンの懸念に迅速に対応しようとしているが(鉄道と港湾システムが特に目立つ)、原材料や製造などの他のセクターは、バイデン政権の政策の施行により、2023年に初めてそのような対応が求められるようになる可能性がある。
多くの組織は、インターネットへの接続を想定しておらず、ましてや攻撃者がアクセスできるように意図されていないテクノロジーを使用しています。この領域の一部の組織はサイバー攻撃に対応する準備ができていないため、現在、企業にこの脆弱性への対処を義務付ける標準と規制の開発につながっています。ただし、認知度と手頃な価格のため、実装には遅れが生じる可能性があります。
これは長期的な解決策ではありますが、サイバーセキュリティに関する質問をしてダウンラインベンダーを奨励し、供給品のより安全な代替品を選択することは、これらの組織が事業開発計画においてサイバーセキュリティへの取り組みを優先し始めるのに役立つ可能性があります。
組織がサイバーセキュリティに関連しない可能性のある品目を新たなベンダーに依頼する場合、基本的なサイバーセキュリティ評価を実行して、ダウンライン組織がサイバーセキュリティ保護のデューデリジェンスを確実に行っているかどうかを確認する必要があります。これにより、業務と供給が引き続き予想どおりに移動および実行できるようにする必要があります。
さらに、特定の移動手段や原材料の生産者がより高いリスクにさらされる可能性があることを認識し、物理的なサプライチェーンの混乱を軽減するために、それらの品目を受け取る、または入手するための代替ソリューションを文書化して追跡する必要があります。たとえば、組織が従来鉄道で輸送されていた化学物質を必要とする場合、供給のダウンタイムを最小限に抑えるためにトラックのコンテナを介して化学物質を輸送するベンダーを評価する必要があります。
サプライ チェーンの懸念は、契約やベンダーのリスク管理の一部としてだけでなく、不測の事態、業務の継続性、インシデント対応に関する計画の一部としても検討される必要があります。サプライチェーンにおける主要なリソースの損失によるビジネスへの影響分析には、インシデントが発生した場合に簡単に移行できるように代替案を文書化して対処する必要があります。代替ベンダーを理解し、同様の方法で精査してから、それらを計画に追加する必要があります。
今後数年間、保険の要件が変化し、他の組織がこれらのコンポーネントのより大規模なサプライチェーンに焦点を当てているため、これらの組織の多くを侵害から保護するための取り組みを強化する必要があります。組織のセキュリティを確保するために自社と協力しているサイバーセキュリティ専門家は、これらのベンダーの一部と協力する可能性があります。リスクの軽減とサイバーセキュリティのプログラムと環境の成長を促進するための取り組みが必要です。たとえそれが、ベンダーに適用される可能性のある情報共有組織を確認するよう提案するためであっても ( 重要なコンポーネントのオンサイト機器の予備品などに関するパートナーシップ。)
責任と説明責任の観点から、セキュリティ専門家やビジネスリーダーは、正当なビジネス上の懸念事項としてサイバーセキュリティを一貫して無視する組織との協力を拒否することを恐れるべきではありません。たとえば、サイバーセキュリティ インシデントにより完全な業務が数か月間停止した組織は、1 つのインシデントによってすべての業務が停止する可能性がある場合、ベンダーとして関与できない可能性があります。
あるクライアントは、サプライ チェーンのリスク管理に関する会議中に、「ベンダー リスクはどこまで調査するのですか?」と尋ねました。答えは簡単です。事業運営を損なうリスクがある限りです。
世界がテクノロジーによって進化し、変化し続けるにつれて、サプライチェーンのリスクはさらに深刻になる一方です。その時代の先を行きましょう。
Mea Clift、CISSP、PMP、CRISC、CISA、CISM、FAIR は、Woodard & Curran のサイバーセキュリティ プログラム マネージャーです。情報技術分野で 25 年の経験を持つ Clift は、サイバーセキュリティとリスク管理に関して豊富な経験を持っています。デスクトップのサポートから始まり、サーバー、次にマネージド サービス、クラウド サービスに移り、最後にサイバーセキュリティとリスク管理に焦点を当てました。クリフトさんの IT 経験は、サイバーセキュリティに対する独自の視点を与え、サイバーセキュリティ管理の全領域とライフサイクルを把握できるようになりました。次世代のサイバー専門家を支援することに情熱を注ぐクリフトは、記事の出版、サイバー リスクのトピックに関するプレゼンテーション、およびサイバーシティと ISACA のメンターに参加しています。
