Ojačavanje sajber otpornosti

Novo istraživanje kompanije Kaspersky pokazalo je da je više od dve trećine kompanija spremno da investira u bezbednost svojih izvođača i dobavljača kako bi obezbedilo otpornost na sajber napade, dok dodatna četvrtina to već čini. Ova promena ukazuje na to da kompanije sada izvođače smatraju delom jedinstvenog, međusobno povezanog bezbednosnog ekosistema.

Usled porasta napada na lance snabdevanja, koji su pogodili skoro svaku treću kompaniju, kao i napada na odnose poverenja koji su u protekloj godini uticali na četvrtinu kompanija širom sveta[1], organizacije preispituju svoje pristupe internoj bezbednosti. One prepoznaju da rizici po njihovu sajber bezbednost zavise od bezbednosnog nivoa svakog izvođača ili partnera koji ima pristup njihovoj infrastrukturi i sistemima, te su spremne da u skladu s tim deluju.

Prema istraživanju, 69% ispitanika razmatra ulaganje u bezbednost svojih izvođača kako bi ojačali sopstvenu sajber otpornost. Ova spremnost je naročito izražena u Indiji (83%), Indoneziji (80%), Rusiji (80%) i Brazilu (76%). Zanimljivo je da organizacije u Indoneziji, Brazilu i Rusiji pokazuju veće poverenje u izvođače nego u drugim zemljama — što potvrđuje veći od prosečnog broj izvođača sa pristupom sistemima kompanija.

Istovremeno, 25% kompanija je već počelo da deli troškove bezbednosti sa svojim izvođačima, prelazeći sa namere na konkretne aktivnosti. Stopa usvajanja je viša u Hong Kongu i Tajvanu (33%), Španiji (33%), Turskoj (31%) i Vijetnamu (31%).

„Danas kompanije shvataju da bezbednost ne može da se završi na granicama njihove sopstvene organizacije, već mora da se proširi na čitav ekosistem“, komentariše Bojan Antović, menadžer prodaje za velke kompanije u regionu zapadnog Balkana u kompaniji Kaspersky. „Manje kompanije često nemaju bezbednosne kapacitete koje imaju preduzeća kojima pružaju usluge, što za ove potonje predstavlja dodatni rizik. Deljenjem resursa i stručnosti, veće kompanije mogu da zatvore taj jaz, jačajući slabe tačke duž celog lanca zavisnosti — i postanu ključni pokretač globalne sajber otpornosti.“

Kako bi se smanjili rizici u lancu snabdevanja, Kaspersky preporučuje da kompanije unaprede svoju bezbednost kroz organizacione mere, uključujući rigoroznu i na dokazima zasnovanu evaluaciju dobavljača softvera. Procenom bezbednosnih praksi dobavljača, pregledom procesa razvoja softvera i primenom strukturiranih okvira za evaluaciju, kompanije mogu obezbediti da u njihovoj internoj infrastrukturi funkcionišu isključivo bezbedni i otporni proizvodi. Detaljniji vodič o tome kako odabrati najbolji proizvod dostupan je putem linka.

Za ublažavanje rizika u lancu snabdevanja i rizika povezanih sa odnosima poverenja, Kaspersky takođe preporučuje sledeće:

Saradnja sa dobavljačima po pitanju bezbednosti. Važno je blisko sarađivati sa dobavljačima kako bi se unapredile njihove bezbednosne mere — takva saradnja jača međusobno poverenje i čini zaštitu zajedničkim prioritetom.

Temeljna procena dobavljača pre sklapanja ugovora. Ključno je proceniti nivo bezbednosti potencijalnih dobavljača pre početka saradnje. To uključuje traženje uvida u njihove politike sajber bezbednosti, informacije o prethodnim incidentima i usklađenost sa industrijskim bezbednosnim standardima.

Za softverske proizvode i cloud usluge preporučuje se prikupljanje podataka o ranjivostima i sprovedenim penetracionim testovima, a u nekim slučajevima savetuje se i sprovođenje dinamičkog testiranja bezbednosti aplikacija (DAST).

Uvođenje ugovornih bezbednosnih zahteva. Ugovori sa dobavljačima treba da sadrže konkretne zahteve u vezi sa informacionom bezbednošću, kao što su redovne bezbednosne provere, usklađenost sa relevantnim bezbednosnim politikama vaše organizacije i protokoli za prijavu incidenata.

Primena preventivnih tehnoloških mera. Rizik od ozbiljne štete usled kompromitovanja dobavljača značajno se smanjuje ukoliko vaša organizacija primenjuje bezbednosne prakse kao što su princip najmanjih privilegija, „zero trust“ pristup i razvijeno upravljanje identitetima.

[1] Prema izveštaju „Supply chain reaction: securing the global digital ecosystem in an age of interdependence“. Za potrebe izveštaja, interni centar za istraživanje tržišta kompanije Kaspersky naručio je anketu u kojoj je ispitano 1.714 poslovnih lidera, uključujući izvršne direktore (C-level), potpredsednike, kao i rukovodioce timova i starije specijaliste iz kompanija sa više od 500 zaposlenih. Istraživanje je obuhvatilo 16 zemalja, uključujući Nemačku, Španiju, Italiju, Brazil, Meksiko, Kolumbiju, Singapur, Vijetnam, Kinu, Indiju, Indoneziju, Saudijsku Arabiju, Tursku, Egipat, Ujedinjene Arapske Emirate i Rusiju.