Monitorowanie ciągłe: wypełnianie luk w bezpieczeństwie w zarządzaniu ryzykiem dostawców

Łańcuchy dostaw są spoiwem, które trzyma razem globalną gospodarkę. Są również znaczącym źródłem ryzyka biznesowego związanego z cyberbezpieczeństwem. Ataki na dostawców wzrosły o 431% między 2021 a 2024 rokiem, i spodziewa się, że będą nadal rosły. To złe wieści dla przedsiębiorstw, z którymi robią interesy. IBM szacuje, że naruszenie zabezpieczeń dostawcy jest związane z jednym z najwyższych kosztów naruszenia danych spośród wszystkich typów incydentów: 4,9 mln dolarów za naruszenie.

Wyzwanie dla liderów ds. ryzyka i cyberbezpieczeństwa polega na tym, że istniejące mechanizmy zarządzania ryzykiem są niedoskonałe. Mogą być wolne, wymagające dużych nakładów pracy i pełne punktów ślepych. Prawdziwe zarządzanie ryzykiem dostawców polega na ciągłym nadzorze i kontroli.

Niepowstrzymany wzrost łańcuchów dostaw

Złożone, fragmentaryzowane łańcuchy dostaw są ceną, którą płacimy za handel międzynarodowy. W ciągu ostatnich dziesięciu lat lub więcej rosły one, aby wesprzeć popyt konsumentów na więcej wyboru i niższe ceny, napędzane przez eksplozję handlu online. W tym samym czasie łańcuchy dostaw cyfrowych również przeszły ogromny wzrost, dzięki rozpowszechnieniu oprogramowania jako usługi (SaaS), dostawcom usług zarządzanych (MSP) i wymaganiom biznesowym dotyczącym bardziej innowacyjnych, wydajnych sposobów pracy.

W efekcie jest nieprzezroczystość tam, gdzie powinna być wiedza, i rosnące poziomy ryzyka biznesowego, które mogą zagrozić zyskom i lojalnością klientów. Według jednego szacunku, nawet średni MSP ma 800 dostawców. Kiedy dostawcy dostawców są brani pod uwagę, liczby szybko sięgają tysięcy firm.

Ryzykowny interes

To złe wieści dla CISO i ich zespołów, którzy muszą znaleźć sposób na zarządzanie nieuniknionymi ryzykami cyberbezpieczeństwa, które pochodzą z obszernych łańcuchów dostaw. Kompromitacja dostawcy i łańcucha dostaw stanowiła 15% przypadków naruszenia danych w zeszłym roku, według IBM. Verizon twierdzi, że liczba ta wzrosła o 30% w ciągu ostatniego roku. Niezależnie od rzeczywistej liczby, jest jasne, jaki rodzaj szkody mogą one spowodować.

Strony trzecie, takie jak firmy outsourcingowe i profesjonalne firmy usługowe, mogą przechowywać bardzo wrażliwe poświadczenia dostępu i inne dane należące do ich organizacji klientów. Mogą to być bardzo uregulowane informacje osobowe (PII) dotyczące klientów i pracowników. Lub IP, tajemnice handlowe lub niepubliczne dane finansowe. Wszystko to jest dużą atrakcją dla extorsjonistów cyfrowych, którzy mogą je ukraść i/lub zaszyfrować, aby wymusić płatność. Naruszenia bezpieczeństwa stron trzecich stanowiły ponad dwie piąte (41)% ataków ransomware w 2024 roku, według jednego badania.

Ponieważ dostawcy się rozwijają, rośnie również ryzyko oszustw korporacyjnych, takich jak za pomocą kompromitacji poczty elektronicznej (BEC). Atakujący mogą wysłać e-mail phishingowy do członka zespołu finansowego lub nawet starszego menedżera, żądając zapłaty za nieistniejącą fakturę. Zwiększają szanse na sukces, hakując konta e-mailowe klienta/dostawcy, aby monitorować komunikację i zrozumieć, jak wyglądają faktury. Straty z tytułu BEC zgłoszone FBI sięgały prawie 2,8 mld dolarów w zeszłym roku, co czyni je drugim co do wielkości rodzajem cyberprzestępczości.

Następnie są dostawcy dostawców. Jeden raport z 2023 roku twierdzi, że połowa badanych organizacji miała pośrednie relacje z co najmniej 200 dostawcami czwartego stopnia, którzy doświadczyli naruszeń w ciągu ostatnich dwóch lat. Im mniejszy dostawca, tym mniej zasobów może on mieć do wydania na najlepsze praktyki cyberbezpieczeństwa.

AI to dar dla hakerów

Technologia AI jest coraz częściej wykorzystywana przez cyberprzestępców, aby poprawić swoje wskaźniki sukcesu. W rzeczywistości, brytyjscy eksperci rządu ostrzegli w tym roku, że ta technologia “prawdopodobnie będzie nadal sprawiać, że elementy operacji inwazyjnych w cyberprzestrzeni będą bardziej skuteczne i wydajne”.

Możemy to zobaczyć w tym, jak AI generatywny umożliwia tworzenie kampanii phishingowych w naturalnym, bezbłędnym języku lokalnym. W tym, jak może pomóc atakującym w wyszukiwaniu słabości systemowych i wyborze celów. I w tym, jak może nawet pomóc w tworzeniu złośliwego oprogramowania i exploitów. Dlatego AI doprowadzi do “wzrostu częstotliwości i intensywności cyberzagrożeń” w ciągu najbliższych dwóch lat, ostrzega raport.

W zależności od rodzaju i zakresu incydentu bezpieczeństwa, wpływ na klientów naruszonych dostawców wynosi od szkód finansowych i reputacyjnych do ryzyka regulacyjnego i perturbacji operacyjnych. Im dłużej incydent pozostaje niewykryty, tym więcej czasu atakujący mają w sieci i, ostatecznie, tym więcej kosztuje oczyszczenie i odzyskanie. Niestety, kompromitacje łańcucha dostaw są najdłużej rozwiązywane, według IBM.

Przykładem jest niedawne ujawnienie dużego incydentu ransomware w firmie Conduent, dostawcy usług o przychodach sięgających setek milionów dolarów. Ponad 11 milionów Amerykanów mogło mieć ujawnione swoje numery bezpieczeństwa społecznego, dane ubezpieczenia zdrowotnego i informacje medyczne, według raportów. I chociaż dopiero w listopadzie 2025 roku zostali o tym poinformowani, środowisko firmy jest uważane za skompromitowane już w październiku 2024 roku.

Dlaczego ciągłe monitorowanie ma znaczenie

Na szczęście, AI może również pomóc “dobrej stronie” w pokonaniu wspólnych wyzwań związanych z zarządzaniem ryzykiem cyberbezpieczeństwa dostawców. Za dużo organizacji boryka się z wolnymi, ręcznymi procesami i długimi ankietami, które powodują opóźnienia i tworzą punkty ślepe widoczności. Niespójne dokumenty dostawców utrudniają porównywanie wyników ryzyka w ekosystemie i zrozumienie, co jest najważniejsze dla biznesu.

Zamiast tego, z podejściem opartym na danych i AI, organizacje mogą wykorzystać automatyzację do wykonania ciężkiej pracy, zarówno podczas wdrożenia, jak i później. To ostatnie jest ważne, ponieważ ryzyko nie kończy się, gdy dostawca został zatwierdzony. Kontynuuje ewolucję, potencjalnie co godzinę lub dziennie, z każdą nową słabością oprogramowania, naruszeniem danych lub błędnie skonfigurowanym kontem. Dostawcy mogą zainwestować w nową infrastrukturę, zwiększając swoją powierzchnię ataku. Mogą dodać nowych dostawców, zmieniając ekspozycję na ryzyko. I mogą być celem nowych kampanii atakujących.

Wszystko to wymaga bardziej proaktywnego podejścia do zarządzania ryzykiem stron trzecich, które wykracza poza gromadzenie i przetwarzanie ankiet i dokumentów dostawców. Powinno być ukierunkowane na identyfikację ryzyka w czasie rzeczywistym, aby organizacja mogła podjąć działanie szybko, zanim zostanie wyrządzona jakakolwiek szkoda.

Rozpoczęcie pracy z AI

Osiągnięcie tego rodzaju 360-stopniowej, ciągłej wiedzy o ryzyku cyberbezpieczeństwa dostawców będzie wymagało dużej ilości danych oraz inteligentnych algorytmów, które będą wskazywać podejrzane wzorce. Im więcej danych wysokiej jakości, tym lepsza widoczność. Mogą to być strumienie wywiadowcze, które przeszukują fora dark web w poszukiwaniu wczesnych sygnałów ostrzegawczych o naruszeniu. Lub monitorowanie słabości, które podkreślają brakujące aktualizacje zabezpieczeń w majątku dostawcy. Mogą one również śledzić dowody kompromitacji poczty elektronicznej wśród działów finansowych dostawców, co może wskazywać na nadchodzące ataki BEC. Lub nawet podejrzane wzorce transakcji z tymi dostawcami.

AI może być wykorzystany do identyfikacji krytycznych ryzyk w czasie rzeczywistym, aby podjąć natychmiastowe działanie. I do automatycznego przypisania ciągle aktualizowanego wyniku ryzyka dla każdego dostawcy, ważonego zgodnie z polityką klienta, postawą i krytycznością dla biznesu.

AI agenci mogą również być potężnymi sojusznikami, pracującymi autonomicznie, aby spożytkować i przeanalizować złożone dokumenty dostawców, takie jak raporty SOC 2 i polityki bezpieczeństwa wewnętrzne, oraz mapować kontrolę na ustanowione ramy, takie jak NIST CSF lub ISO 27001. To może zapewnić widoczność zgodności w ciągu kilku minut, a nie godzin, uwalniając czas dla zespołów bezpieczeństwa i ryzyka, aby pracować nad zadaniach o wyższej wartości. W dojrzałych organizacjach agenci AI mogą również pracować niezależnie, aby rozwiązać i usunąć rutynowe problemy – lub przynajmniej przekierować je do odpowiedniego członka zespołu do natychmiastowej uwagi.

Łączenie wszystkiego

Kluczem jest upewnienie się, że taki system zarządzania ryzykiem cyberbezpieczeństwa dostawców jest zunifikowany, aby dane ryzyka nie znalazły się w izolacji i były nieprzydatne. Idealnie, ta sama platforma umożliwiłaby inne rodzaje zarządzania ryzykiem dostawców, w obszarach takich jak zgodność, zrównoważoność, finanse i operacje. To powinno zapewnić rodzaj informacji, na podstawie których można podejmować lepsze decyzje biznesowe.

Przede wszystkim pamiętaj, że ryzyko cyberbezpieczeństwa jest podstawowo ryzykiem biznesowym. Nigdy nie może być wyeliminowane. Ale może być zarządzane skuteczniej.