Zapewnienie bezpiecznego łańcucha dostaw dla instytucji państwowych

Wnioski

  • Dzisiejsze łańcuchy dostaw w sektorach państwowych są zagrożone większym ryzykiem i coraz bardziej wyrafinowanymi atakami.

  • Praca zdalna znacznie rozszerzyła powierzchnię ataku.

  • Widoczność, współpraca i dokładna ocena są kluczowe dla zapewnienia kompleksowej ochrony.

BUILT IN - ARTICLE INTRO SECOND COMPONENT

Złożoność nowoczesnego łańcucha dostaw

Obecnie rząd federalny korzysta z szerokiego i zróżnicowanego łańcucha dostaw do zasobowania infrastruktur, wyposażenia i innych podstawowych towarów. Aby sprostać potrzebom tego sektora — od procesorów w systemach kontroli ruchu powietrznego po laptopy dla pracowników zdalnych, i wiele więcej, — instytucje współpracują z szeroką grupą partnerów produkcyjnych i logistycznych. Każdy węzeł i połączenie w tym globalnym łańcuchu dostaw oznacza znaczne zagrożenie.

Kryminaliści dostrzegają tego rodzaju ryzyko jako okazję. Z odpowiednim dostępem mogą dokonać sabotażu, kradzieży lub modyfikacji uzasadnionych dostaw – zarówno pod kątem fizycznym, jak i cyfrowym – i wykorzystywać je jako tajne punkty wejściowe lub narzędzia do zbierania informacji. Złożoność nowoczesnego łańcucha dostaw umożliwia powstanie wielu sposobów na uzyskanie dostępu. Przestępcy wdrażają zaawansowane strategie i korzystają z oprogramowania, na przykład typu ransomware i narzędzi do phishingu, aby pokonać ochrony i osiągnąć swoje cele.

Łańcuchy dostaw różnego typu, choćby przetwórcze, produkcyjne i rozwojowe, także stały się bardziej skomplikowane. Firmy współpracują z szerokim spektrum partnerów, którzy dostarczają im szereg komponentów, a także świadczą im usługi transportowe i zarządzania logistyką. Dla instytucji państwowych oznacza to, że ryzyko wykracza poza spółkę, z którą bezpośrednio współpracują.

Wyrafinowanie nowoczesnych zagrożeń łączy się ze złożonością globalnego łańcucha dostaw i tworzy bardzo rzeczywiste problemy związane z bezpieczeństwem i zarządzaniem ryzykiem, którym instytucje państwowe muszą sprostać.

Znaczenie bezpiecznego łańcucha dostaw

Co się stanie, gdy państwowy łańcuch dostaw zostanie przerwany? To pierwszy krok do szeregu niepożądanych konsekwencji: od kradzieży danych wrażliwych i prywatnych aż po awarię najważniejszych usług państwowych.

W świecie cyfrowym Twój łańcuch dostaw jest narażony na niebezpieczeństwo bardziej niż kiedykolwiek. Dlatego właśnie wdrażanie formalnych programów zarządzania ryzykiem w łańcuchu dostaw w celu obniżenia ryzyka i udaremniania działań przestępców jest tak ważne. Narzędzia takie jak systemy cyberbezpieczeństwa i rozwiązania do monitorowania i zarządzania magazynami i logistyką oraz do śledzenia zasobów mogą pomóc chronić organizację.

Aktualne zagrożenia łańcucha dostaw

Szybkie wdrażanie pracy zdalnej zwiększyło ryzyko związane z łańcuchem dostaw i znacznie rozszerzyło ogólną powierzchnię ataków wielu instytucji państwowych. Pracownicy zdalni często korzystają z sieci, które nie są objęte kontrolą zespołu IT, co skutkuje obniżeniem bezpieczeństwa. Użytkownicy spędzają również więcej czasu online, co zwiększa ryzyko narażenia.

W obliczu nowych wyzwań obawy dotyczące zarządzania i bezpieczeństwa łańcucha dostaw roszerzają się o szereg zagrożeń fizycznych i cyfrowych. W przypadku federalnych łańcuchów dostaw należy przewidywać różnorodne ataki, które mogą pochodzić od wielu różnych przestępców, w tym grup hackerskich sponsorowanych przez inne kraje, kryminalistów, hackerskich aktywistów, własnych pracowników i osób rozczarowanych, które chcą wywołać chaos.

Aby osiągnąć swoje cele, atakujący korzystają z różnorodnej taktyki fizycznej i cyfrowej.

Zagrożenia fizyczne

  • Kradzież i rozbieranie urządzeń, sprzętu i materiałów
  • Manipulacja — modyfikacja lub zmiana urządzenia w złośliwym celu
  • Nieautentyczne lub podrabiane towary

Zagrożenia cyfrowe

  • Wprowadzanie złośliwego oprogramowania do procesu produkcyjnego lub infekowanie komponentów oprogramowania
  • Phishing, ransomware, botnety i inne powszechne ataki cybernetyczne, których celem są użytkownicy
  • Ataki na sieci IT i inną infrastrukturę cyfrową
  • Uszkadzanie usług chmurowych firm zewnętrznych w celu uzyskania nieautoryzowanego dostępu

Dobre praktyki do tworzenia bezpiecznego łańcucha dostaw

Instytucje państwowe skupiają się na poprawie bezpieczeństwa w łańcuchach dostaw. Wiele z nich organizuje zespoły, które są dedykowane do zabezpieczenia łańcuchów dostaw. Najważniejsze jest uzyskanie bardziej całościowego obrazu na temat zagrożeń – w środowisku fizycznym, cyfrowym i ludzkim. Celem jest bardziej efektywne zbieranie informacji w celu poznania trendów związanych z atakami. Dzięki udoskonalonemu monitorowaniu w całym łańcuchu dostaw instytucje państwowe uzyskują więcej informacji, gdy pojawia się zagrożenie.

Całościowa widoczność i informacje

Podejście holistyczne do informacji o bezpieczeństwie w łańcuchu dostaw umożliwia przeprowadzanie bardziej szczegółowych rozmów menedżerów ds. ryzyka w łańcuchu dostaw z innymi osobami decyzyjnymi, takimi jak specjaliści ds. cyberbezpieczeństwa, zespoły ds. bezpieczeństwa fizycznego, jak i zespoły HR. Ulepszona współpraca i łączność między tymi sektorami jest kluczowa.

Podobnie dzięki usługom informacyjnym o zagrożeniach dowiesz się o najnowszych trendach związanych z atakami i taktyką. Wielu dostawców szuka sposobów na udostępnienie informacji i pomaganie w ochronie branży przed zagrożeniami.

Podejście do bezpieczeństwa w modelu zerowego zaufania

Model bezpieczeństwa zerowego zaufania szybko staje się nowym standardem. Zgodnie z nim pracownicy i partnerzy uzyskują wyłącznie taki dostęp, który potrzebny jest do wykonywania swojej pracy – i nic więcej. Dzięki temu podejściu ograniczenia przypisywania uprawnień firmy mogą lepiej zwalczać coraz większą liczbę niebezpiecznych mechanizmów i ataków w całym łańcuchu dostaw. Wdrożenie podejścia zerowego zaufania umożliwia poprawę zarządzania ryzykiem bezpieczeństwa informacji w instytucjach.

Certyfikaty i weryfikacje firm trzecich

Wiele instytucji chce się dostosować do standardów bezpieczeństwa w łańcuchu dostaw, aby zapewnić ochronę ich zasobów. Certyfikaty takie jak ISO28000 i ISO27001, lub korzystanie z ramy cyberbezpieczeństwa NIST, mogą dać firmom pewność, że podejmują odpowiednie kroki mające na celu zapobieganie i szybkie usuwanie incydentów. Zewnętrzna weryfikacja i precyzyjna kontrola wewnętrzna umożliwia weryfikację zgodności i promowanie bardziej skutecznych działań certyfikacyjnych.

Dokładna i nieustająca ocena

Przeprowadzana kontrola powinna być dokładna w każdym węźle w globalnym łańcuchu dostaw, w tym należy przeprowadzać dokładną ocenę ogólną i rygorystyczne audyty wszystkich partnerów w łańcuchu dostaw. Aby wzmocnić porozumienie i ujednolicić oczekiwania wobec dostawców można stosować umowy. Audyty umożliwiają kontrolę tego, czy dostawcy się do nich stosują. Powzięcie odpowiednich kroków naprawczych i ostrożne śledzenie rozwoju sytuacji w przypadku wystąpienia ostrzeżeń jest także bardzo ważne. Te odpowiedzi i praktyki neutralizowania zagrożeń powinny być wbudowane w istniejące programy do zarządzania dostawcami lub poprawy jakości. Przejrzystość i zaufanie powinny być podstawą wszelkich relacji w łańcuchu dostaw.

Dedykowanie wysiłków firmy Intel w bezpieczeństwo łańcucha dostaw

W firmie Intel bezpieczeństwo zawsze stoi na pierwszym miejscu. Oferujemy rozwiązanie Intel® Transparent Supply Chain (Intel® TSC), które oferuje większą widoczność i możliwość identyfikacji komponentów sprzętowych, oprogramowania sprzętowego i systemów na wybranych platformach Intel®. Zapewnia ono szczegółowy wgląd w łańcuch dowodowy urządzena, dzięki czemu ma się pewność, że nikt nie manipulował przy inwestycjach firmy.

Oprócz oferty Intel® TSC, podjęliśmy kroki w celu wzmocnienia bezpieczeństwa własnego łańcucha dostaw. Wykorzystujemy ramy zarządzania ryzykiem, które opierają się na dobrych praktykach i standardach branżowych w całej naszej sieci dostawców — od projektu, usług, aż po zarządzanie IP, magazynowanie i logistykę. Nasz program obejmuje wytyczne dotyczące wyboru dostawców, uwzględniające praktyki i zachowania bezpieczeństwa oraz regularną ocenę ryzyka dostawców, umowne ochrony językowe przed podróbkami, lokalne audyty i monitorowanie cyberbezpieczeństwa w czasie rzeczywistym. Te możliwości są częścią naszych standardowych praktyk zarządzania dostawcami i umożliwiają większy wgląd w działania i szybkie wykrywanie anomalii i ryzyka.