Dodávatelia hrajú v dnešnom digitálnom svete kľúčovú úlohu, no zároveň predstavujú častý cieľ kybernetických útokov. Tento článok vysvetľuje, prečo je pre dodávateľov nevyhnutné posilniť opatrenia kybernetickej bezpečnosti, ak chcú uspieť.
Outsourcing služieb sa stal jedným z pilierov, ktoré pomáhajú organizáciám dosahovať vyššiu efektívnosť. Namiesto toho, aby disponovali všetkými potrebnými internými zdrojmi (čo môže byť nákladné), je často rozumnejšie využiť externú pomoc, ktorá im poskytne krátkodobé odborné riešenia alebo poradenstvo v relevantných otázkach.
Dodávatelia v skutočnosti predstavujú jedinečný svet, pretože ich možno využívať ako individuálne ponúkané možnosti, napríklad poradenstvo, PR a grafický dizajn, alebo ich možno rozšíriť tak, aby pokrývali celé obchodné operácie, vrátane manažérskeho poradenstva, bezpečnostných služieb, náboru zamestnancov a inžinierstva.
Vo svete, kde dôveryhodné obchodné vzťahy zneužívajú kyberzločinci, sú bezpečnostné postupy používané týmito dodávateľmi dostatočne profesionálne na to, aby chránili seba aj svojich klientov?
Kladenie správnych otázok
Ako firma rastie, jej prevádzka sa stáva zložitejšou, čo môže byť pre vedenie odstrašujúce. S veľkosťou prichádzajú aj zvýšené právne a iné povinnosti, ktoré vyžadujú špecializované znalosti. To má vplyv na rozpočty, najmä ak ide o nákladnú oblasť, ako je napríklad implementácia súladu s predpismi.
Z pohľadu kybernetickej bezpečnosti by sa generálny riaditeľ, finančný riaditeľ alebo riaditeľ pre informačnú bezpečnosť mohli opýtať: „Prečo zamestnávať celý interný personál bezpečnostného operačného centra, keď môžeme túto činnosť outsourcovať profesionálnemu poskytovateľovi spravovaných bezpečnostných služieb (MSSP), ktorý splní naše povinnosti v oblasti dodržiavania predpisov a dokonca zvýši našu bezpečnostnú pozíciu lacnejšie?“
Vzhľadom na to, že trh profesionálnych služieb by mal do roku 2028 rásť o 2,07 bilióna USD, môžeme predpokladať, že takéto otázky budú kladené čoraz častejšie. Navyše, s rozširovaním sa nedostatku kvalifikovaných pracovníkov v niekoľkých odvetviach, nekonečné hľadanie produktivity a efektívnosti neprestane.
Toto hľadanie má však svoje vlastné problémy. Je rozumné zaplniť vnútorné medzery hľadaním riešení mimo priestorov spoločnosti. V dodávateľskom reťazci však existujú slabé články, ktoré sú zraniteľné voči kybernetickým hrozbám.
Ak majú problém dodávatelia, majú ho aj klienti
Napríklad v roku 2020 bola dodávateľská spoločnosť zaoberajúca sa kyberbezpečnosťou napadnutá sofistikovanou skupinou APT. Zdá sa, že hackeri hľadali informácie týkajúce sa zákazníkov a získali niektoré interné nástroje kyberbezpečnosti spoločnosti určené na penetračné testovanie.
Hypoteticky, kombináciou údajov od zákazníka, ktorého systémy boli testované pomocou tých istých penetračných nástrojov, ktoré získali, mohli zločinci vytvoriť vysoko cielené spearphishingové kampane alebo jednoducho nájsť správny cieľ a príležitosť na preniknutie obranou.
Hrozby však nie sú zamerané len na bezpečnostných profesionálov. Finančné spoločnosti, ako sú účtovné firmy, sú tiež častými cieľmi, pretože spracúvajú veľké množstvo citlivých finančných údajov. Ďalej sú tu advokátske kancelárie, ktoré často pracujú s dôvernými informáciami o klientoch. V jednom prípade bola advokátska kancelária, ktorá sa zaoberá porušovaním ochrany údajov, sama obeťou porušenia ochrany údajov, čím boli odhalené informácie o 637 000 obetiach.
Medzi podnikateľmi sú aj podvodníci
Na stránkach s inzerátmi možno nájsť profesionálov na voľnej nohe, ktorí ponúkajú svoje služby. Ide zvyčajne o individuálnych dodávateľov, ktorí prevádzkujú menšie služby a na základe svojich kvalifikácií pomáhajú pri projektoch podľa požiadaviek.
Niekto by sa mohol napríklad tváriť ako osvedčený odborník na cyber compliance, svoje služby inzerovať online a pomáhať firmám splniť regulačné požiadavky. Kto však môže potvrdiť, že ide o skutočného odborníka? Mohol by sa len tváriť, že ním je, a získaním dôveryhodného prístupu k informáciám spoločnosti sa rýchlo stať vnútornou hrozbou.
Takéto podvody nie sú ojedinelé. Množstvo citlivých informácií, ktoré menia majiteľa (v závislosti od služby), od osobných alebo firemných informácií až po finančné údaje, je prakticky otvorenou pozvánkou pre zločincov. Podobne ako v prípade podvodov s pracovnými ponukami by si firmy a ľudia mali byť vedomí takýchto nebezpečenstiev.
Ako chrániť dodávateľov
Ochrana dodávateľov alebo celého odvetvia profesionálnych služieb nie je len otázkou bezpečnosti, ale aj zvýšenia efektívnosti, produktivity a v konečnom dôsledku aj ziskovosti, ktorú môže priniesť. V podstate, čo je lepšie ako vedomie, že váš nový partner je dostatočne bezpečný na to, aby ste s ním mohli spolupracovať?
To však závisí od veľkosti organizácie. Menší podnikatelia nemusia mať rovnaké bezpečnostné potreby ako veľká spoločnosť. Rovnako by však bezpečnostné riešenia pre koncové zariadenia mali zostať prvou líniou obrany pre oba subjekty, doplnené pravidelnými školeniami o kybernetickej bezpečnosti, pretože vedomosť o tom, ako môže hrozba vyzerať, môže pomôcť predísť incidentom v budúcnosti.
Okrem toho by dodávatelia mali myslieť aj na zraniteľnosť zariadení a programov, ktoré používajú pri svojich každodenných úlohách. V takýchto prípadoch by bolo rozumné zvážiť rozšírené preventívne moduly, ako je ESET Cloud Office Security, komplexné riešenie schopné zmierniť riziko vyplývajúce zo sofistikovaných phishingových útokov, spamu alebo podozrivých súborov. Veď väčšina profesionálnej komunikácie prebieha prostredníctvom e-mailu, nástroja, cez ktorý to útočníci mimoriadne často skúšajú na svoje obete.
Navyše, ak sa dodávatelia zaoberajú platobnými údajmi alebo citlivými informáciami o klientoch, je potrebné zvážiť niektoré požiadavky na súlad so štandardmi, ako je PCI DSS, alebo právnymi predpismi, ako je Všeobecné nariadenie o ochrane údajov (GDPR), ktoré vyžaduje rôzne opatrenia.
Reputačná rovina
Treba myslieť na to, že možní partneri sa budú obávať spolupráce s dodávateľskou firmou, ak utrpela závažný kybernetický incident. Pre odvetvie profesionálnych služieb je najdôležitejšie udržať spokojnosť svojich klientov. S ich lepším zabezpečením tak stúpa aj kvalita poskytovaných služieb. Odzrkadlí sa to aj na finančných ziskoch? Odpoveď na túto otázku vedie k ďalšej otázke: Uložili by ste svoje úspory pod vankúš, alebo radšej do trezora?
