Ajatusjohtajat

Jatkuva seuranta: TÀyttÀmÀllÀ turvallisuuden aukot toimittajien riskienhallinnassa

mm
Published
Updated

Toimitusketjut ovat maailman talouden ylläpitäjä. Ne ovat myös merkittävä lähde kyberuhkiin liittyvälle liiketoimintariskille. Toimittajia kohdistuvat hyökkäykset lisääntyivät 431 % vuosien 2021 ja 2024 välillä, ja niiden odotetaan jatkuvan. Tämä on huono uutinen niille yrityksille, joilla on liiketoimintaa toimittajien kanssa. IBM arvioi, että kolmannen osapuolen toimittajan kompromissi on yhteydessä korkeimpiin tietoturvaloukkauksen kustannuksiin: 4,9 miljoonaa dollaria loukkauksessa.

Haaste riski- ja kyberturvallisuusjohtajille on, että olemassa olevat riskienhallintamekanismit ovat epätäydellisiä. Ne voivat olla hitaita, resursseja kuluttavia ja täynnä sokeita pisteitä. Todellinen toimittajien riskienhallinta perustuu jatkuvaan valvontaan ja ohjaukseen.

Toimitusketjujen pysäyttämätön kasvu

Monimutkaiset, hajanaiset toimitusketjut ovat hinta, jonka maksamme globaalista kaupasta. Viimeisen kymmenen vuoden aikana ne ovat kasvaneet tukemaan kuluttajien vaatimuksia enemmän valikoimaa ja alhaisempia kustannuksia, jota on ajettu eteenpäin online-ostosten räjähdysmäisellä kasvulla. Samalla digitaaliset toimitusketjut ovat myös käyneyt läpi valtavan kasvun, kiitos ohjelmistojen (SaaS), hallitut palveluntarjoajat (MSP) ja liiketoiminnan vaatimukset innovatiivisemmista ja tehokkaammista työskentelytavoista.

Tuloksena on, että siellä, missä pitäisi olla näkyvyyttä, on epäselvyyttä, ja liiketoimintariskit kasvavat, mikä voi vaarantaa voitot ja kuluttajien uskollisuuden. Yhden arvion mukaan jopa keskivertaisella PK-yrityksellä on 800 toimittajaa. Kun toimittajien toimittajat lasketaan, luku kasvaa tuhansiin liiketoimintoihin.

Epävarma liiketoiminta

Tämä on huono uutinen tietoturva- ja riskienhallintatiimille, jotka joutuvat löytämään keinon hallita väistämättömiä kyberturvallisuusriskejä, jotka liittyvät laajoihin toimitusketjuihin. Toimittajan ja toimitusketjun kompromissi aiheutti 15 % tietoturvaloukkauksista viime vuonna, IBM:n mukaan. Verizon väittää, että luku on itse asiassa kaksinkertaistunut viimeisen vuoden aikana ja on nyt 30 %. Mikä tahansa todellinen määrä on, on selvää, että ne voivat aiheuttaa merkittävää vahinkoa.

Kolmannet osapuolet, kuten ulkoistajat ja ammattipalveluyritykset, voivat säilyttää erittäin arkaluontoisia pääsykohtaisia tietoja ja muita asiakasyritysten tietoja. Ne voivat olla korkeasti säännellyt henkilötiedot (PII) asiakkaiden ja työntekijöiden osalta. Tai IP, kaupalliset salaisuudet tai julkaisemattomat rahoitusasiakirjat. Kaikki nämä ovat suuri houkutus digitaalisille kiristäjille, jotka voivat varastaa ja/tai salata ne maksun saamiseksi. Kolmannen osapuolen tietoturvaloukkaukset aiheuttivat yli kaksi viidennesosaa (41 %) ransomware-hyökkäyksistä vuonna 2024, yhden tutkimuksen mukaan.

Kun toimittajat lisääntyvät, myös yrityspetoksen riski kasvaa, kuten liiketoimintasähköpostin kompromissi (BEC). Uhka-aktöörit voivat lähettää huijausviestin rahoitusjoukkueen jäsenelle tai jopa korkealle johtajalle, pyytäen maksua olemattomasta laskusta. He tekevät hyökkäyksensä varmemmaksi hakkeroidessaan asiakas/toimittajan sähköpostitilejä, jotta he voivat seurata viestintää ja ymmärtää, miltä laskut näyttävät. BEC-tappiot, jotka ilmoitettiin FBI:lle, olivat lähes 2,8 miljardia dollaria viime vuonna, mikä tekee siitä toiseksi suurimman kyberrikoksen.

Sitten on toimittajien toimittajat. Yksi vuoden 2023 raportti väittää, että puolet tutkimassa olevista organisaatioista oli epäsuorat suhteet vähintään 200 neljänteen osapuoleen, jotka olivat kärsineet tietoturvaloukkauksista edellisten kahden vuoden aikana. Mitä pienempi toimittaja, sitä vähemmän resursseja heillä on parhaiden kyberturvallisuus käytäntöjen noudattamiseen.

Tekoäly on lahja hakkerille

Tekoälytekniikkaa hyödynnetään yhä enemmän kyberrikollisilla parantamaan menestystodennäköisyyttään. Brittiläiset hallituksen asiantuntijat varoittivat tänä vuonna, että tekniikka “tulee todennäköisesti jatkumaan tekemällä osia kyberhyökkäyksistä tehokkaammaksi ja tehokkaammaksi.”

Näemme tämän siinä, miten generatiivinen tekoäly mahdollistaa huijauskampanjoiden luomisen luonnollisilla, virheettömillä paikallisilla kielillä. Siinä, miten se voi auttaa uhka-aktööriä etsimään järjestelmän heikkouksia ja valitsemaan kohteita. Ja siinä, miten se voi jopa auttaa luomaan haittaohjelmia ja hyökkäyksiä. Siksi tekoäly johtaa “kyberuhkiennusteiden lisääntymiseen ja voimistumiseen” seuraavien kahden vuoden aikana, raportti varoittaa.

Riippuen turvallisuusloukkauksen tyypistä ja laajuudesta, vaikutus asiakkaaseen, jonka toimittaja on loukkaantunut, vaihtelee taloudellisesta ja maineeseen liittyvästä vahingosta sääntely- ja operatiiviseen häiriintymiseen. Mitä kauemmin loukkaus jää havaitsematta, sitä enemmän aikaa uhka-aktöörillä on verkostossa ja lopulta sitä enemmän se maksaa puhdistaa ja toipua. Valitettavasti toimitusketjun kompromissit kestävät pisimmän ajan, IBM:n mukaan.

Esimerkkinä on äskettäin paljastunut suuren BPO-toimittajan Conduentin merkittävä ransomware-loukkaus. Yli 11 miljoonaa amerikkalaista saattaa olla alttiina sosiaaliturvatunnuksille, terveydenhuollon tietoihin ja muihin tietoihin, raporttien mukaan. Vaikka heidät ilmoitettiin vasta marraskuussa 2025, yhtiön ympäristö uskotaan olleen kompromisoitu jo lokakuussa 2024.

Miksi jatkuva seuranta on tärkeää

Onneksi tekoäly voi myös auttaa hyviä tekijöitä voittamaan yleisiä haasteita toimittajien kyberturvallisuusriskien hallinnassa. Liian moni organisaatio kamppailee hitaiden, manuaalisten prosessien ja pitkien kyselyjen kanssa, jotka aiheuttavat viiveitä ja luovat näkyvyyden sokeita pisteitä. Epäjohdonmukaiset toimittajadokumentaatiot tekevät vaikeaksi verrata riskipisteitä ekosysteemin ympärillä ja ymmärtää, mikä on tärkeintä liiketoiminnalle.

Sen sijaan, kun käytetään data- ja tekoälykeskeistä lähestymistapaa, organisaatiot voivat saada automaation tekemään raskaan työn, sekä käyttöönoton aikana että sen jälkeen. Jälkimmäinen on tärkeää, koska riski ei lopu, kun toimittaja on hyväksytty. Se jatkuu kehittymistä, mahdollisesti tunnin tai päivittäin, uusien ohjelmistovirheiden, tietoturvaloukkauksen tai väärän konfiguraation kohdalla. Toimittajat voivat investoida uuteen infrastruktuuriin, kasvattaen kyberhyökkäyksen pintaa. He voivat lisätä uusia toimittajia, muuttaen riskialttiutta. Ja he voivat joutua uusien uhka-aktöörien kampanjoiden kohteeksi.

Kaikki nämä vaativat enemmän proaktiivista lähestymistapaa kolmannen osapuolen riskienhallintaan, joka menee pidemmälle kuin toimittajakyselyiden ja dokumentaation kerääminen ja prosessointi. Se tulisi keskittyä riskien tunnistamiseen reaaliajassa, jotta organisaatio voi toimia nopeasti ennen kuin vahinkoa aiheutuu.

Aloittaminen tekoälyllä

Saavuttaminen tämänkaltaisella 360-asteen, jatkuvalla näkyvyydellä toimittajien kyberturvallisuusriskiin vaatii paljon dataa – ja älykkäitä algoritmeja, jotka tunnistavat epäilyttäviä malleja. Mitä enemmän laadukasta dataa, sitä parempi näkyvyys. Tähän voivat kuulua uhka-intelligence-tiedot, jotka etsivät varhaisia varoitusmerkkejä tietoturvaloukkauksesta. Vai tietoturva-audit, jotka korostavat puuttuvia turvallisuuspäivityksiä toimittajien tiloissa. Se voi myös seurata todisteita sähköpostin kompromissista toimittajien rahoitusosastoissa, mikä voi olla merkkinä tulevista BEC-hyökkäyksistä. Vai jopa epäilyttäviä transaktiokuvioita, jotka liittyvät niihin toimittajiin.

Tehtävä voidaan hyödyntää tunnistamaan kriittiset riskit reaaliajassa, jotta voidaan toimia välittömästi. Ja määrittää jatkuvasti päivitettävä riskipiste toimittajalle, painotettuna asiakkaan käytännön, asennelman ja liiketoiminnan kriittisyyden mukaan.

Agenteille tekoäly voisi olla voimakas liittolainen, joka toimii itsenäisesti toimittajien monimutkaisten dokumenttien kuten SOC 2 -raporttien ja yrityksen turvallisuuspolitiikkojen analysointiin ja niiden kartoittamiseen vakiintuneisiin kehyksiin kuten NIST CSF tai ISO 27001. Tämä voi tarjota sääntelynäkyvyyden vain muutamassa minuutissa, ei tunteina, vapauttaen turvallisuus- ja riskitiimien ajan työskennellä korkeamman arvon tehtävissä. Kypsisissä organisaatioissa tekoälyagentit voivat myös toimia itsenäisesti ratkaisemalla ja korjaamalla jokapäiväisiä ongelmia – tai ainakin ohjaamalla ne oikealle tiimijäsenelle nopeaan huomioon.

Kokoelman tekeminen

Avain on varmistaa, että järjestelmä toimittajien kyberturvallisuusriskien hallintaan on yhtenäinen, jotta riskidata ei jää eristyneeksi ja käyttökelvottomaksi. Ihanteellisesti sama alusta mahdollistaisi myös muita toimittajien riskienhallinnan tyyppejä, kuten sääntely, kestävyys, rahoitus ja toiminta. Se tarjoaisi sellaisen tiedon, jolla voidaan tehdä parempia liiketoimintapäätöksiä.

Ennen kaikkea muista, että kyberturvallisuusriski on perustavanlaatuinen liiketoimintariski. Sitä ei voida koskaan poistaa. Mutta sitä voidaan hallita tehokkaammin.

mm

Chief Information Officer -tehtÀvÀssÀÀn Vishal Grover vastaa yhtiön laajuisen tietoturva- ja riskienhallintaprogramman perustamisesta ja yllÀpitÀmisestÀ, jotta apexanalytix:in ja asiakkaidemme tietovarannot ovat suojattuina.

Vishalilla on yli 20 vuoden kokemus tietotekniikasta, ja hÀn on toiminut useissa rooleissa monilla eri tietotekniikan alueilla, kuten sovelluskehityksessÀ, tietokannan hallinnassa, IT-infrastruktuurissa ja tietoturva-asioissa. HÀnen laaja taustansa kattaa ohjelmien toteuttamisen kehittyvien turvallisuus- ja vaatimustenmukaisuuden vaatimusten (SSAE18, PCI, secure SDLC, GDPR, palautus) varmistamiseksi, jotta maailman suurimpien yritysten turvallisuus, suorituskyky ja saatavuus ovat korkeimmalla tasolla.

Vishal valmistui Delhin yliopistosta kaupan tutkinnolla. HÀnellÀ on myös edistynyt IT-diplomi NIIT:stÀ sekÀ SUN-sertifikaatti.