Was uns die Capita-Verletzung über das Management von Lieferkettenrisiken verrät
Inhaltsverzeichnis:
Als der IT-Outsourcing-Riese Capita im März einen Ransomware-Angriff erlitt, versuchte er sein Bestes, um die Medienberichterstattung zu kontrollieren. Aber Vorfälle wie dieser in der Lieferkette entgehen selbst den besten PR-Teams. Nach ein paar Wochen voller Nachrichten von Capita kam der schlimmste Albtraum des Unternehmens: eine Flut von Meldungen über Sicherheitsverletzungen von Firmenkunden. Bei diesem und einem zweiten Vorfall mit Cloud-Fehlkonfiguration ist die Zahl der Opfer inzwischen auf mindestens 90 gestiegen.
Es gibt viele Erkenntnisse für Sicherheits- und Compliance-Teams. Aber sie können auf eine Idee reduziert werden. Sie können über das weltweit beste Programm zur Cyber-Risikominderung verfügen, aber Ihr Unternehmen könnte dennoch kritischen Vorfällen ausgesetzt sein, wenn es nicht die Lieferkette abdeckt.
Laut eine Schätzung Letztes Jahr erlitten 98 % der globalen Unternehmen im Jahr 2021 einen Verstoß in der Lieferkette. Es ist an der Zeit, die Transparenz und Kontrolle von innerhalb nach außerhalb des Unternehmens auszuweiten.
Was ist mit Capita passiert?
Capita hält sich bedeckt über den angeblichen „Vorfall“ vom 22. März, was aufschlussreich ist nur bis heute dass „einige Daten von weniger als 0.1 % seines Serverbestands exfiltriert wurden“. Tatsächlich, Berichte schlagen vor dass die Ransomware-Gruppe BlackBasta hinter dem Verstoß steckte und die persönlichen Daten und Bankkontodaten der Opfer bereits im Dark Web verkauft wurden. Dies hat schwerwiegende Auswirkungen auf die zahlreichen Firmenkunden des Unternehmens und letztlich auch auf deren Kunden.
Capita verfügt über Verträge im Wert von mehreren Milliarden Pfund mit Kunden aus dem öffentlichen und privaten Sektor, darunter Royal Mail, Axa und USS, einem der größten Pensionsfonds Großbritanniens. Regulierungsbehörde The Information Commissioner's Office (ICO) wurde überschwemmt mit Verstoßmeldungen dieser Kunden. Gleichzeitig hat der Pensions Regulator (TPR) hat angeblich geschrieben an über 300 Fonds mit der Bitte um Prüfung, ob auch sie betroffen sind.
Capita ist nicht die erste und wird auch nicht die letzte Quelle sein Supply-Chain-Cyber Risiko. Noch in jüngerer Zeit wurden namhafte Marken wie BA, Boots und die BBC von einem Verstoß gegen persönliche und finanzielle Daten betroffen, der Mitarbeiter und potenzielle Kunden betraf. Der Täter? Ein Fehler in einem Dateiübertragungstool namens MOVEit, das ihr Lohn- und Gehaltsabrechnungsanbieter Zellis verwendet. Man geht davon aus, dass Tausende von Unternehmen, direkte und indirekte Softwarenutzer, betroffen sein könnten.
Warum das Risiko in der Lieferkette schwer zu bewältigen ist
Da die Auswirkungen beider Verstöße weltweit weiterhin für Schlagzeilen sorgen, ist es jetzt an der Zeit, die Risiken in der Lieferkette besser zu verstehen. Jamie Akhtar, CEO von CyberSmart, argumentiert, dass der Capita-Vorfall eines der besten Beispiele für die Sicherheitsrisiken ist, die Lieferketten mit sich bringen.
„Es dient der britischen Geschäftswelt als Warnung. Wenn Sie Teil einer Lieferkette sind, werden Cyberkriminelle früher oder später versuchen, Sie ins Visier zu nehmen – die Gelegenheit, Störungen zu verursachen oder wichtige Daten zu stehlen, ist zu schön, um sie sich entgehen zu lassen“, sagt er. „Deshalb fordern wir Unternehmen jeder Größe auf, über ihre Lieferkette und die damit verbundenen Risiken nachzudenken.“
Simon Newman, CEO von The Cyber-Resilienz Centre for London fügt hinzu, dass Angreifer zunehmend auf große und komplexe Lieferketten abzielen, da die internen Sicherheitsbemühungen verbessert wurden.
„Die Möglichkeit, die Sicherheit eines Lieferanten zu gefährden, stellt nicht nur eine potenzielle Hintertür zu größeren Organisationen dar, sondern da der Dritte wahrscheinlich auch Produkte oder Dienstleistungen für andere Unternehmen bereitstellt, bedeutet dies, dass das Ausmaß und die Tragweite des Angriffs sinken.“ ist weitaus größer“, warnt er.
Warum ist das Risiko in der Lieferkette so schwer zu bewältigen?
Ein Angriff auf die Lieferkette kann viele Formen annehmen. Es könnte sein, dass Unternehmensdaten von einem Lieferanten verwaltet werden, der anschließend verletzt wird (wie Capita oder Blackbaud). Es könnte sein, dass ein Lieferant oder Partner mit Anmeldungen in Ihrem Netzwerk kompromittiert wird und Hackern Zugriff auf die IT-Ressourcen und Daten Ihres Unternehmens verschafft. Dies geschah im Großen und Ganzen 2013 Zielverstoß. Oder es könnte sogar sein, dass mehrere nachgeschaltete Benutzer kompromittierter Software infiziert werden, nachdem Hacker Malware implantiert oder Fehler darin ausgenutzt haben, wie es bei MOVEit und geschehen ist Beschleunigung.
Da die digitale Transformation rasant voranschreitet, wächst die Cyber-Angriffsfläche von Lieferanten immer weiter. Ihre IT-Umgebungen ändern sich ständig und erfordern eine genaue und im Idealfall kontinuierliche Prüfung. Aber das passiert nicht. Entsprechend der Nationales Cybersicherheitszentrum (NCSC) liegen einige der größten Herausforderungen beim Supply Chain Risk Management darin, die Grundlagen richtig zu machen, wie zum Beispiel:
- Die Risiken verstehen, die mit Armut verbunden sind Sicherheit in der Lieferkette
- Mehr in die Risikominderung investieren
- Verbesserung der Transparenz der Lieferketten
- Erhalten Sie die richtigen Tools und das richtige Fachwissen, um die Cybersicherheit von Lieferanten zu bewerten
- Verstehen, welche Fragen an Lieferanten gestellt werden müssen
Leider reichen die derzeitigen Bemühungen nicht aus. Laut einem RegierungsberichtNur etwa jedes zehnte (10 %) Unternehmen überprüft die von Lieferanten ausgehenden Risiken. Wie oben erwähnt, zählen zu den im Bericht genannten Hindernissen Geld, Fähigkeiten, Priorisierung und die Beschaffung korrekter Informationen von Lieferanten. Wichtig ist aber auch zu wissen, welche Lieferanten überprüft und welche Kontrollen durchgeführt werden müssen. Hier ist Internationalität gefragt Standards wie ISO 27001 kann helfen.
Wie ISO 27001 helfen kann
Laut IBM20 % der Vorfälle von Datenschutzverletzungen gehen auf Lieferanten zurück, wobei die durchschnittlichen Kosten pro Datenschutzverletzung 4.46 Mio. US-Dollar betragen, mehr als der Durchschnitt aller Datenschutzverletzungsarten (4.35 Mio. US-Dollar). Dies allein sollte ausreichen, um den Geist auf die Aufgabe zu konzentrieren Verwaltung der Lieferkette Risiken effektiver eingehen. Aber wie? Betrachten Sie zunächst das Supply Chain Mapping (SCM) des NCSC. und wollen auch Tipps und Tricks,, die Ihnen hilft zu verstehen, wer Ihre Lieferanten sind, was sie anbieten und wie sie es bereitstellen. Dies sollte eine effektivere risikobasierte Entscheidungsfindung ermöglichen.
Die Bewertung und Verwaltung der Lieferantensicherheit ist ebenfalls ein wichtiger Bestandteil eines Informationssicherheits-Managementsystems (ISMS). ISO 27001 kann Ihnen mit folgenden Schritten sagen, wie Sie dorthin gelangen:
- Festlegung einer formellen Richtlinie für Lieferanten, die Ihre Anforderungen zur Risikominderung im Zusammenhang mit Dritten darlegt
- Vereinbarung und Dokumentation dieser Anforderungen mit jedem Lieferanten
- Die Überprüfung, ob Lieferanten über Prozesse verfügen, um ein angemessenes Maß an Grundsicherheit zu gewährleisten (einschließlich ihrer eigenen Lieferketten). Dies könnte durch gezielte Audits, Fragebögen oder Prüfungen zur Akkreditierung nach ISO 27001 erfolgen
- Führen einer regelmäßig aktualisierten Liste zugelassener Lieferanten
- Überprüfen Sie regelmäßig, ob Lieferanten Ihre Sicherheitsanforderungen erfüllen.
- Stellen Sie sicher, dass alle technischen oder Prozessänderungen umgehend gemeldet werden und dass Sie deren Auswirkungen auf das Lieferantenrisiko verstehen.
Da Lieferketten immer größer und komplexer werden, nehmen auch die Cyberrisiken zu. Es ist Zeit, Maßnahmen zu ergreifen.
Vereinfachen Sie noch heute Ihr Supply Chain Management
Erfahren Sie, wie unsere ISMS-Lösung einen einfachen, sicheren und nachhaltigen Ansatz für Supply Chain Management und Informationsmanagement mit ISO 27001 und über 50 weiteren Frameworks ermöglicht.