Jak zachować bezpieczeństwo łańcucha dostaw przy widmie cyberataków? Cyberprzestępcy nie kierują już swojej uwagi wyłącznie na duże firmy. Celem ich ataków stały się wszystkie przedsiębiorstwa, niezależnie od wielkości. Analizy specjalistów z Veeam wskazują, że aż 83% firm z Europy Środkowo-Wschodniej doświadczyło ataków szyfrujących dane i wymuszających okup. Konsekwencje cyberataków są bolesne – zarówno dla całego zaatakowanego podmiotu, jak i klientów. 

Dobre relacje z Klientami cechuje przede wszystkim zaufanie. To ono powoduje chęć do korzystania z produktów i usług. Cyberataki powodują utratę zaufania, które może prowadzić do gwałtownego spadku przychodów, a w najgorszym wypadku do zakończenia biznesu.

W pierwszej połowie 2023 roku laboratoria firmy Fortinet wykryły aż 13 razy więcej cyberataków niż pod koniec 2022. Prowadząc biznes funkcjonujemy w łańcuchu dostarczania wartości dla Klienta końcowego. Nawet najmniejsze zaburzenie tego procesu może doprowadzić do poważnych konsekwencji dla całego otoczenia, w tym przede wszystkim odbiorców naszych produktów i usług. To poważne ryzyka, które musimy uwzględnić – zarówno z perspektywy konkurencyjności biznesu, jak i zachowania zgodności z regulacjami – mówi Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa w DEKRA.

Wprowadzone w ostatnim czasie akty prawne Unii Europejskiej, jak akt o odporności cyfrowej sektora finansowego, czy Dyrektywa dotycząca cyberbezpieczeństwa i zapewnienia ciągłości świadczonych usług, zobowiązują do zbudowania adekwatnego do zagrożeń systemu bezpieczeństwa informacji. Obydwa akty prawne zwracają poświęcają uwagę nie tylko budowie systemu bezpieczeństwa w samej organizacji, ale też działaniom mającym zapewnić ochronę całego łańcucha dostaw. W jaki sposób spełnić wymagania prawne, które stawia regulator, a jednocześnie skutecznie zredukować ryzyko ataku cyberprzestępców? Na przykład za pomocą międzynarodowych standardów.

ISO 27001

Uznanymi międzynarodowymi standardami, które wspierają organizację w zakresie budowy bezpiecznej, odpornej na zakłócenia organizacji jest PN-EN ISO/IEC 27001:2022 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Systemy zarządzania bezpieczeństwem informacji – wymagania i PN-EN ISO 22301:2020 Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wymagania. Jak skutecznie w kilku krokach wdrożyć standardy w organizacji?

• Zidentyfikuj i oceń ryzyko w łańcuchu dostaw. ISO 27001 można wykorzystać do przeprowadzenia szczegółowej oceny ryzyka związanego z cyberbezpieczeństwem, w tym mapowania potencjalnych zagrożeń czy identyfikacji kluczowych zasobów i procesów, narażonych na ryzyko.

• Określ wymagania bezpieczeństwa. Na podstawie oceny ryzyka można opracować konkretne standardy bezpieczeństwa, procedury zarządzania incydentami czy audyty bezpieczeństwa.

• Zweryfikuj dostawców. Pozwoli to przeprowadzić audyt i zweryfikować czy dostawcy w całym łańcuchu przestrzegają norm ISO 27001.

• Zarządzaj incydentami. Norma pozwala na opracowanie planu ciągłości działania w wypadku ataków, w tym procedury reagowania i zarządzanie komunikacją w przypadku awarii.

• Pracuj nad świadomością i edukacją. Szkolenia dla pracowników z zakresu cyberbezpieczeństwa i procedur pomogą zmniejszyć ryzyko wystąpienia incydentów i przyspieszają reakcje na ataki.

• Monitoring i audyt. Przeprowadzanie regularnego monitoringu i audytu środków bezpieczeństwa pozwoli na bieżąco korygować i poprawiać systemy ochrony. Proces zarządzania bezpieczeństwem wymaga ciągłego doskonalenia.

W ciągu pierwszych sześciu miesięcy 2023 r. analitycy zdiagnozowali ponad 10 tys. unikalnych exploitów, a więc programów mających na celu wykorzystanie istniejących błędów w oprogramowaniu. To aż o 68 proc. więcej w porównaniu z okresem sprzed pięciu lat – zaznacza Tomasz Szczygieł. Integracja standardów ISO 27001 i ISO 22301 w zarządzaniu bezpieczeństwem i ciągłością działania w łańcuchu dostaw pomaga w zminimalizowaniu ryzyka cyberzagrożeń, zwiększeniu odporności na awarie oraz zachowaniu ciągłości operacyjnej w przypadku incydentów. Ważne jest, aby te standardy były dostosowane do konkretnych potrzeb i charakterystyki Twojego łańcucha dostaw – podsumowuje.

Źródło: DEKRA.