Кибербезопасность на уровне закупок

Пандемия оказала драматическое влияние на многие предприятия и их цепочки поставок. Бизнесу приходилось принимать важные решения, чтобы выжить не только с точки зрения получения доходов, но и предоставления сотрудникам возможности работать удаленно. Некоторые компании были подготовлены к подобному формату работы с технологической точки зрения, для других это стало головной болью и большинство решений им приходилось принимать в спешке.

У части компаний, переходивших на удаленный формат работы впопыхах, возникал соблазн оставить большинство процессов как есть, в том числе и процессы, связанные с безопасностью, не прибегать к внедрению каких-либо технологических изменений, обеспечивающих новые стандарты безопасности. Итог – ряд громких примеров, когда преступники, а иногда в их роли даже представители определенных структур некоторых государств, атаковали части цепочек поставок организаций, чтобы получить доступ к их промышленным секретам и конфиденциальным данным.

Многие специалисты считают, что проверка поставщиков с точки зрения кибербезопасности — проблема ИТ, не закупщиков. Да, часть нашей аудитории поддержит это мнение, но оно не отменяет наличие в компании отлаженных процессов проверки поставщиков на всех уровнях.

Традиционно группы по обеспечению качества закупок держатся подальше от глубоко технического и загадочного мира кибербезопасности. Если комплексная проверка поставщика требует оценки кибербезопасности, ее с радостью передают внутренним или внешним специалистам. Любые отчеты, принятие рисков или меры по устранению последствий остаются на усмотрение киберспециалистов, в то время как при проверке поставщиков все силы и особое внимание уделяется основным финансовым рискам, страховому покрытию, стандартам, непрерывности поставок и т.п.

В свою очередь, специалисты по кибербезопасности подходят к задачам по проверке поставщиков на кибербезопасность, как к краткосрочным. Зачастую это мгновенные оценки, которые считаются дополнением к их повседневной работе по защите ИТ-активов и систем организации. Да, технических специалистов часто просят о создании стандартов по киберконтролю поставщиков или другой помощи в областях, где у закупщиков нет знаний и опыта. И технические специалисты, конечно, выполняют эти просьбы ответственно, но все равно не считают их стратегически важными.

Очевидно, что сегодня большинство компаний нуждаются в более ответственном подходе к вопросу защиты бизнеса от кибератак, приходящих через поставщиков, продавцов, других третьих сторон. Этот подход должен базироваться на серьезной совместной работе и быть основан на передовой практике, средствах контроля, способах управления и обязательствах по постоянному улучшению работы в данном направлении как группы по обеспечению качества закупок, так и специалистов по кибербезопасности.

Лучшее из обоих миров

Важно, чтобы группы по обеспечению качества закупок, кибербезопасности лучше понимали области, задачи и обязанности друг друга при проверке поставщиков. Отправной точкой для них должна стать совместная разработка критериев анализа и воздействия на поставщиков, систематическая оценка рисков, которые может иметь каждый поставщик или третье лицо с точки зрения кибербезопасности.

Например, хранит ли поставщик и как обрабатывает персональные или конфиденциальные данные? Есть ли у него доступ к системам или сетям заказчика? Есть ли у сотрудников поставщика доступ к аутентификационной информации любого рода, включая системные пароли, может ли он их изменять? Такие данные очень часто хранятся у провайдеров, оказывающих услугу программного обеспечения. Именно на основе подобных критериев здравого смысла и устанавливается уровень возможного кибервоздействия, который определяет подход поставщика к кибербезопасности.

Критерии для каждого уровня кибервоздействия необходимо стандартизировать и согласовать со всеми участниками процесса. Например, от поставщиков с высокой степенью кибервоздействия клиенты ожидают, что они продемонстрируют высокий уровень внутреннего контроля, который должен принять форму получения (или работы по достижению) международных стандартов, таких как ISO27001, IASME Governance или NIST. Что это означает: ответственность за демонстрацию серьезного уровня контроля лежит на поставщике, а не на клиенте и его команде по кибербезопасности, которые должны порой тратить сотни часов на аудиторскую работу. Кроме того, такой высокоорганизованный поставщик имеет важное преимущество – его уровень безопасности будет оцениваться по известным общепринятым мировым стандартам, не по критериям закупщиков.

Но клиент всегда имеет право провести свою техническую оценку или тест. Например, тест на проникновение или, по крайней мере, запросить отчет о «тесте на проникновение» от третьей стороны. Однако, когда клиенту задача технические непонятна, роль «управления рисками» нельзя передавать третьей стороне, как бы соблазнительно это ни звучало.

Для поддержания хорошего управления рисками группе по обеспечению качества поставщиков следует составить график проверок и сосредоточиться на управлении кибербезопасностью, также как на финансовом аудите.

Общая информация о рисках поставщика

Что действительно помогает минимизировать риски, так это то, что различные группы, участвующие в их оценке, начинают использовать общие информационные системы для записи и визуализации рисков поставщика. Порой пользователи создают действительно впечатляющие оценочные карты поставщиков, показывающие комбинированное представление финансовых, киберрисков, GDPR, экологических и других рисков на одной простой диаграмме. Это дает общее понимание совокупного риска от каждого поставщика и помогает как киберспециалистам, так и всей команде, занимающейся обеспечением гарантий понять, как их миры подходят друг другу. 

В любой ситуации, не только при изменении ИТ-ландшафта, связанного с пандемией, управление рисками поставщиков должно быть непрерывным и хорошо управляемым процессом.

Автор: Стюарт Джабб — руководитель отдела консалтинга в Crossword Cybersecurity PLC .