باج افزار بزرگترین خطر برای زنجیره تامین در ذهن متخصصان فناوری اطلاعات است

بر اساس نظرسنجی که روز دوشنبه منتشر شد، باج‌افزار بزرگ‌ترین خطری است که امروزه سازمان‌ها با آن مواجه هستند ایساکاانجمنی برای متخصصان فناوری اطلاعات با 140000 عضو در 180 کشور جهان.

این نظرسنجی، بر اساس پاسخ‌های بیش از 1300 متخصص فناوری اطلاعات با بینش‌های زنجیره تأمین، نشان داد که تقریباً سه چهارم پاسخ‌دهندگان (73 درصد) گفتند که باج‌افزار در هنگام بررسی خطرات زنجیره تأمین برای سازمان‌هایشان یک نگرانی کلیدی است.

سایر نگرانی های کلیدی شامل اقدامات ضعیف امنیت اطلاعات توسط تامین کنندگان (66%)، آسیب پذیری های امنیتی نرم افزار (65%)، ذخیره سازی داده های شخص ثالث (61%) و ارائه دهندگان خدمات شخص ثالث یا فروشندگان با دسترسی فیزیکی یا مجازی به سیستم های اطلاعاتی، نرم افزار بود. کد یا IP (55%).

نگرانی شدید در مورد باج افزار ممکن است به این دلیل باشد که می تواند ضربه مضاعفی به یک سازمان وارد کند.

کریس توضیح داد: «اول، خطر پیدا کردن یک مهاجم به سازمان از یک فروشنده یا وابستگی نرم‌افزاری به خطر افتاده وجود دارد، همانطور که با حملات SolarWinds و Kaseya دیدیم که تعداد زیادی از قربانیان پایین دستی را از طریق آن زنجیره تأمین تحت تأثیر قرار دادند. کلمنتز، معاون معماری راه حل ها در Cerberus Sentinel، یک شرکت مشاوره امنیت سایبری و تست نفوذ در اسکاتسدیل، آریز.

او ادامه داد: «پس از آن اثرات ثانویه وجود دارد، جایی که یک باند باج‌افزار ممکن است داده‌های ذخیره‌شده در یک ارائه‌دهنده شخص ثالث را بدزدد و با تهدید به انتشار عمومی آن در صورت عدم پرداخت باج، تلاش کند از هر دو سازمان اخاذی کند.»

او به TechNewsWorld گفت: «روی دیگر سکه این است که یک حمله باج‌افزاری به زنجیره تأمین یک سازمان می‌تواند باعث اختلال عملیاتی قابل‌توجهی شود، اگر شخص ثالثی که به آن وابسته است نتواند به دلیل حمله سایبری خدمات ارائه دهد.

جهل رهبر

این حملات به زنجیره تامین نرم افزار می تواند اثر موجی بر زنجیره تامین فیزیکی داشته باشد. اریش کرون، مدافع آگاهی امنیتی، اظهار داشت: «باج‌افزارها وقتی سیستم‌هایی که تولید و توزیع کالاها و خدمات را به‌صورت آفلاین مدیریت می‌کنند، به اختلالات قابل‌توجهی در زنجیره تأمین از قبل مشمول مالیات کمک می‌کند.» KnowBe4، یک ارائه دهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا.

او به TechNewsWorld گفت: «این می‌تواند بر سفارش و ردیابی موجودی مواد مورد نیاز برای ساخت اقلام تأثیر بگذارد، بر ردیابی وضعیت اقلام مورد نیاز برای تکمیل سفارش‌ها تأثیر بگذارد و می‌تواند مشکلات لجستیکی در دریافت مواد به مشتریان ایجاد کند و کمبودهایی را برای مشتریان آنها ایجاد کند».

تبلیغات

او افزود: «در دنیایی که سفارش‌ها به‌موقع انجام می‌شود، هرگونه تأخیر می‌تواند زنجیره تأمین را کاهش دهد و افراد بیشتری را در این مسیر تحت تأثیر قرار دهد».

نزدیک به یک سوم از متخصصان فناوری اطلاعات مورد بررسی (30٪) نشان دادند که رهبران سازمان خود درک کافی از ریسک زنجیره تامین ندارند. راب کلاید، مدیر هیئت مدیره ISACA به TechNewsWorld گفت: «این واقعیت که فقط 30٪ بود تا حدودی دلگرم کننده بود. “چند سال پیش این تعداد بسیار بیشتر بود.”

کلمنتز گفت: “من فکر می کنم بسیاری از ناآگاهی ها ناشی از دست کم گرفتن بسیار زیاد تعداد وابستگی ها و اهمیت آنها برای عملیات یک سازمان است.”

این ابزارهای شخص ثالث، به دلیل ماهیت خود، اغلب به حقوق مدیریتی برای بسیاری از دستگاه‌های مشتری، اگر نه همه دستگاه‌های مشتری که با آن‌ها در تعامل هستند، نیاز دارند، به این معنی که ممکن است تنها یکی از این فروشندگان برای به خطر انداختن کامل محیط‌های مشتریانشان نیز کافی باشد.»

او ادامه داد: «به طور مشابه، اغلب ناآگاهی وجود دارد که چقدر سازمان‌ها به فروشندگان شخص ثالث وابسته هستند. پلتفرم باید قطعی طولانی مدت داشته باشد.»

رگ بدبین

حتی در شرایطی که رهبران خطرات زنجیره تامین خود را درک می‌کنند، در مورد امنیت اشتباه نمی‌کنند. کیسی بیسون، رئیس روابط محصول و توسعه‌دهندگان می‌گوید: «در شرایطی که شرکت‌ها باید بین امنیت و رشد یکی را انتخاب کنند، هر بار که آنها رشد را انتخاب می‌کنند. بلوبراکت، یک شرکت خدمات امنیت سایبری در منلو پارک، کالیفرنیا.

“این در معرض خطر مشتریان آنها قرار می گیرد. او به TechNewsWorld گفت که این خطر خود شرکت است. “اما به طور فزاینده ای، ما شروع به دیدن مدیرانی می کنیم که مسئول این انتخاب ها هستند.”

نظرسنجی ISACA همچنین رگه شدیدی از بدبینی را در میان متخصصان فناوری اطلاعات در مورد چشم انداز امنیتی زنجیره تامین آنها نشان داد. تنها 44 درصد اظهار داشتند که به امنیت زنجیره تأمین سازمان خود اطمینان بالایی دارند، در حالی که 53 درصد انتظار دارند که مشکلات زنجیره تأمین در شش ماه آینده ثابت بماند یا بدتر شود.

بررسی ISACA خطرات زنجیره تامین را در بر می گیرد

منبع: ISACA | درک شکاف های امنیتی زنجیره تامین | گزارش تحقیقات جهانی 2022

یکی از شگفت‌انگیزترین یافته‌های این نظرسنجی این بود که 25 درصد از سازمان‌ها گفتند که در 12 ماه گذشته یک حمله زنجیره تامین را تجربه کرده‌اند. کلاید گفت: «فکر نمی‌کردم به این ارتفاع نزدیک شود.»

«در حالی که بسیاری از سازمان‌ها در 12 ماه گذشته حملات سایبری را تجربه کرده‌اند، من فکر نمی‌کردم این تعداد زیاد آن را به مشکل زنجیره تأمین نسبت دهند. اگر چندین سال پیش این سوال را می پرسیدیم، رقم بسیار پایینی بود.»

در همین حال، بیش از 8 نفر از 10 متخصص فناوری (84٪) گفتند که زنجیره تامین آنها به حاکمیت بهتری نسبت به آنچه اکنون دارند نیاز دارد.

اندرو هی، مدیر عامل شرکت، گفت: «روشی که ما امروز سعی می کنیم شرکای زنجیره تأمین را تأیید کنیم، کار نمی کند. خانه ها، یک شرکت مشاوره امنیت اطلاعات در دنور.

او به TechNewsWorld گفت: «ما یا بر اساس داده‌های اسکن خارجی و اطمینان مبتنی بر IP یک امتیاز دلخواه ایجاد می‌کنیم یا سعی می‌کنیم آنها را مجبور کنیم 100 سؤال یا بیشتر را در یک صفحه گسترده پر کنند. “هیچکدام به درستی نشان نمی دهد که یک سازمان چقدر امن است.”

حسابرسی مورد نیاز است

مایک پارکین، مهندس فنی ارشد با Vulcan Cyberارائه‌دهنده SaaS برای اصلاح ریسک سایبری سازمانی در تل‌آویو، اسرائیل، خاطرنشان کرد که عوامل متعددی در هنگام تلاش برای ایمن کردن زنجیره تامین نقش دارند.

او به TechNewsWorld گفت: «سازمان‌ها فقط در محیط خود کاملاً دیده می‌شوند، به این معنی که باید اعتماد کنند که فروشندگانشان بهترین شیوه‌ها را دنبال می‌کنند. “این بدان معناست که آنها باید موارد احتمالی را برای زمانی که فروشنده شخص ثالث نقض می شود در نظر بگیرند یا فرآیندی را ایجاد کنند که آسیبی را که در صورت وقوع اتفاق می افتد به شدت محدود می کند.”

او ادامه داد: زمانی که یک سازمان برای جبران کمبود یا اختلالات نیاز دارد با چندین فروشنده سر و کار داشته باشد، این موضوع حتی پیچیده‌تر می‌شود. “حتی با ابزارهای صحیح مدیریت ریسک، حساب کردن همه چیز در بازی دشوار است.”

تبلیغات

کرون افزود که باید به تامین کنندگان اعتماد وجود داشته باشد. با این حال، اگر حاکمیت برای تأیید آنچه سازمان ها به ما می گویند، افزایش یابد، برخلاف اعتماد به پاسخ های پرسشنامه، باید یک سیستم حسابرسی ایجاد شود.

او گفت: «این امر ناگزیر هزینه‌ها را افزایش می‌دهد، چیزی که بسیاری از سازمان‌ها سخت تلاش می‌کنند تا حد امکان پایین نگه دارند تا رقابتی باقی بمانند.»

او ادامه داد: «در حالی که ممکن است توجیه این امر برای سیستم‌های مهم دولتی یا نظامی آسان‌تر باشد، اما می‌تواند فروش سختی برای تأمین‌کنندگان سنتی باشد». «برای افزودن به چالش‌ها، اعمال حاکمیت بر تأمین‌کنندگان خارجی کالا و مواد ممکن است دشوار یا غیرممکن باشد. مقابله با این چالش آسان نیست و برای مدتی طولانی موضوع مورد بحث خواهد بود.»

منبع: https://www.technewsworld.com/story/ransomware-greatest-risk-to-supply-chain-in-minds-of-it-pros-176830.html?rss=1