Bir çox təşkilat getdikcə artan sayda qlobal təchizatçılara etibarını artırdı. Son onillikdə 2013 Hədəf məlumatlarının pozulması1 və 2020 SolarWinds təchizat zənciri hücumu2 kimi çoxsaylı təchizat zənciri hücumlarının sübut etdiyi kimi kibertəhlükəsizlik təhdidi aktyorları tez-tez təchizatçıları hədəf alır, çünki onlar təchizat zəncirində daha yüksək olan böyük təşkilatlardan daha az təhlükəsizdirlər. Bu hücumlar tədarük zəncirində aşağı olan təchizatçı təşkilatların proqram təminatı və ya məhsullarını təhlükəyə ataraq, təhlükəyə məruz qalmış proqram təminatı və ya məhsulların daha böyük təşkilatların sızmasını asanlaşdırmağa imkan verir.

Böyük, qlobal təchizat zəncirlərinə artan etibar və onlara qarşı artan təhdidlər təchizat zənciri risklərinin idarə edilməsini kibertəhlükəsizlik sahəsində ən yaxşı təcrübələr üzrə sənaye söhbətlərinin ön sırasına çıxardı. Təchizat zənciri riskinin idarə edilməsinə ehtiyac son onillikdə olduğundan daha vacib deyil – bu, sadəcə olaraq daha yaxşı tanındı. 2021-ci ilin may ayında ABŞ Prezidenti ABŞ federal resurslarını tədarük zəncirinin təhlükəsizliyinə dair təlimatları maliyyələşdirməyə yönəldən sərəncam verdi.3 Bundan əlavə, 2021-ci ildə Böyük Britaniyanın Milli Kibertəhlükəsizlik Mərkəzi təchizat zəncirində risklərin idarə edilməsinə dair sorğu keçirdi.4 Ən çox sorğu respondentləri təşkilatları üçün effektiv təchizat zənciri risklərinin idarə edilməsi proqramının həyata keçirilməsinə maneələri müəyyən etdilər. Bu maneələrə təchizat zəncirlərinin zəif görünməsi, kibertəhlükəsizlik riski üzrə təcrübənin olmaması və təchizatçı kiberrisklərini qiymətləndirmək üçün kifayət qədər alətlər və ya təminat mexanizmlərinin olmaması daxildir.

Təchizat zənciri riskinin idarə edilməsi proqramları hər bir təşkilat üçün faydalı ola bilər, lakin lazımi rəhbərlik olmadan, əslində riski artıra bilər. Audit və ya qiymətləndirmə artefaktlarının birləşdirilməsi kimi yanlış idarə olunan təchizat zəncirində risklərin idarə edilməsi təcrübələri bu proqramların effektivliyini aşağı salır. Bundan əlavə, unikal kibertəhlükəsizlik sorğu vərəqlərinin zahirən sonsuz yaradılması, təchizatçıların təşkilatlarının təhlükəsizliyini təmin etmək üçün vaxt sərf etmələrini azaldan yüklərin artmasına kömək edir. Bu səhv idarə olunan təchizat zənciri risklərinin idarə edilməsi praktikalarının riski alıcı təşkilatlar tərəfindən idarə oluna bilər ki, onların təchizat zənciri qiymətləndiriciləri artefaktları toplamaq və saxlamaq məcburiyyətində qalmadan nəzərdən keçirsinlər, risk qiymətləndirməsinin səviyyəsini satıcının alıcı təşkilat üçün yaratdığı riskə ağıllı şəkildə təyin etsinlər və ümumi istifadə olunan risk idarəetmə çərçivəsi ilə riskin qiymətləndirilməsi.

Bir çox təşkilat təchizat zənciri riskini daha yaxşı azaltmaq üçün təchizat zənciri risklərinin idarə edilməsi proqramlarını və proseslərini yaratmaq və ya təkmilləşdirməklə təchizat zənciri kiberriskinə qarşı tədbirlər görür. Təchizat zəncirinin təhlükəsizliyini təsdiqləmək üçün istifadə edilən ən ümumi üç təminat mexanizmi ABŞ Milli Standartlar və Texnologiya İnstitutunun (NIST) nəzarətlərini təsdiq etmək üçün qiymətləndiricilər və auditorlar tərəfindən istifadə edilən mexanizmlərə bənzəyir. NIST Xüsusi Nəşrində (SP) SP 800-171A Nəzarət Edilən Təsnifatsız Məlumat üçün Təhlükəsizlik Tələblərinin Qiymətləndirilməsi5 və NIST SP 800-53A Rev. 5 İnformasiya Sistemləri və Təşkilatlarında Təhlükəsizlik və Məxfilik Nəzarətlərinin Qiymətləndirilməsi6 kitablarında təsvir edilən bu üsullar araşdırma, müsahibə və sınaqdan ibarətdir. Təchizat zəncirinə tətbiq edildikdə, təşkilatlar:

Təchizat zəncirindəki fərdlərdən və ya qruplardan müsahibə alın

Nəzarət vasitələrinin gözlənildiyi kimi davranıb-rəftar etmədiyini yoxlayın

Təchizat zəncirində risklərin idarə edilməsi prosedurlarını təkmilləşdirən təşkilatlar üçün başqa bir məsələ məlumat məxfiliyinin qiymətləndirilməsidir. Xarici tənzimləmə tələblərindən və təşkilatın siyasətlərindən asılı olaraq, bu qiymətləndirmələrin bir hissəsi kimi toplanmış məlumatlar əlavə məlumat məxfiliyinin qiymətləndirilməsini tələb edə bilər. Təşkilatlar tərəfindən tələb olunan ümumi məlumat məxfiliyinin qiymətləndirilməsinə misal olaraq Aİ Ümumi Məlumatların Qorunması Qaydası (GDPR) Məlumatların Qorunmasına Təsirin Qiymətləndirilməsi (DPIA) ola bilər.7 Bu tənzimləmə məlumatların məxfiliyi ilə bağlı əməliyyatların yalnız bir hissəsini əhatə etsə də, eyni anlayışlar bir çox oxşar sənədlərdə ortaya çıxır. qlobal qaydalar. Mübadilə edilən məlumatdan və həyata keçirilən emal növlərindən asılı olaraq, məxfiliyin qiymətləndirilməsi təşkilatlar üçün yaxşı məlumat gigiyenasının bir hissəsi kimi tələb oluna və ya sadəcə arzu oluna bilər.

Təşkilatlar yeni təhlükələrlə mübarizə üçün ən yaxşı üsulları seçdikcə, potensial olaraq təşkilatlarını və təchizat zəncirlərini əlavə riskə açır. Məqsəd yaxşı olsa da, tədarük zəncirinin idarə edilməsi səylərini tez-tez pozan beş yanlış idarə olunan təcrübə var:

1. Təchizat zəncirində daha yüksək olan bir təşkilat daxilində bir neçə təchizatçıdan artefaktların bir yerə yığılması risk yaradır.
2. Alıcı təşkilatın təhlükəsizlik tədbirləri haqqında minimum məlumatı olan təchizatçıların artefaktları qoruması (açıqlanmama müqaviləsi [NDA] təkbaşına həmin artefaktların təhlükəsizliyinə zəmanət vermir) risk yaradır.
3. Paylaşılan artefaktlar tədarükçülər və alıcılar üçün risk səthini genişləndirir – çox vaxt eksponent olaraq:
4. Bu artefaktları alan hər bir yeni təşkilat təchizatçı ilə biznesdə olan hər bir təşkilat üçün risk səthini artırır
5. Alıcı təşkilatlar təchizat bazasında sənədlər topladıqca, onlar qiymətli təhlükəsizlik məlumatlarının daha böyük və daha böyük anbarlarını saxlayırlar.
6. Bu artefaktları idarə etmək və saxlamaq üçün istifadə edilən üçüncü tərəf satıcıları risk səthini daha da genişləndirir.
7. Təşkilatlarda tez-tez unikal sorğu vərəqələri və artefakt tələbləri olur ki, bu da bu məlumatı təqdim edən təchizatçıların üzərinə daha çox yük qoyur və bu təchizatçıların təhlükəsizliyini yaxşılaşdırmaq səyləri üçün lazım olan dəyərli vaxtdan məhrum edir.

Həll yolu: Risk Səthini azaldın

Hər bir təchizatçıya eyni müraciət etmək əvəzinə, alıcı təşkilatlar öz təchizatçılarını potensial təsirə əsaslanaraq təsnifləşdirməyi və risklərin idarə edilməsi prosesini mərhələli şəkildə həll etməyi düşünməlidirlər. Şəkil 4, artefaktları birləşdirmədən təchizat zənciri riskini ölçmək yollarının nümunə iyerarxiyasını nümayiş etdirir. Riskin nəzərdən keçirilməsi üzrə hər bir tədbir çərçivəsində qiymətləndirici və ya auditor təqdim edilmiş attestasiyanı və ya artefaktları nəzərdən keçirir və onların tapıntılarını təşkilati olaraq müəyyən edilmiş risk çərçivəsinə uyğun olaraq sənədləşdirir.

Məsələn, yüksək risk səviyyələrində qiymətləndirici və ya auditor qeydə alınmamış video-telekonfrans görüşü və ya şəxsən səfər zamanı artefaktları nəzərdən keçirə bilər. Yoxlamanın nəticələri minimal təsviri xülasədə sənədləşdirilə bilər. Bundan əlavə, təchizatçının nəzarət vasitələrinin hər bir tələbə cavab verib-vermədiyini qeyd etmək vacibdir. Artefaktlar satıcının ixtiyarında qalacağına görə, artefakt heşinqi qiymətləndirici və ya auditor tərəfindən nəzərdən keçirilən artefaktlara sonradan düzəlişlər etmək üçün istifadə edilə bilər. Bu metodun nümunəsi CMMC Artifact Hashing Tool İstifadəçi Təlimatında daha ətraflı təsvir edilmişdir.8 Bu üsullar artefaktların saytdan kənara köçürülməsinə və böyük bir depoda saxlanmasına ehtiyac olmadığını təmin edir. Təşkilatlar potensial məruz qalmanın hər bir səviyyəsi üçün risk iştahını müəyyən etməli və risklərin idarə edilməsi strategiyasını buna uyğun olaraq tənzimləməlidir.

Nəticə

Kiber təchizat zənciri riskinin idarə edilməsi bütün təşkilatların yerinə yetirməli olduğu bir təcrübədir, lakin strateji həyata keçirilməsi zəruridir. Təchizatçılar sərhədsiz tələblərlə yüklənirsə və artefaktlardan, o cümlədən mülkiyyət sənədlərindən imtina etməyə məcbur edilirlərsə, alıcılar bilmədən öz təhlükəsizliyini sabotaj edə bilərlər. Riskə əsasən, alıcı təşkilatlar şəxsən ziyarətləri, qeydə alınmamış video telekonfransları və ya təchizatçıların özünü təsdiqini nəzərdən keçirməlidir. Bundan əlavə, qiymətləndirmələrin dərinliyi və əhatə dairəsi risk səviyyəsinə uyğunlaşdırılmalıdır. Təchizat zənciri risklərinin idarə edilməsi proqramları bütün təşkilatlar üçün faydalı ola bilər, lakin lazımi rəhbərlik olmadan bütün dünya üzrə təşkilatlar üçün riski artıra bilər.

Azar Alili, CISA, CISM

Baki 2022

Link