betanews 在2025年 2月 16日有這一篇由Leigh Glasper所寫的“ Is a lack of supply chain visibility undermining board-level confidence in cyber security programs?“。
邁進2025年,組織必須關注強化營運韌性和因應第三方風險,這不僅僅由商業需求所驅動,還是新的監理要求。隨著2024年底的NIS2及今年初的DORA等法規的施行,供應鏈風險管理已經成為必要的策略。
這意味第三方網絡風險管理必須成為策略的優先事項。然而,根據BlueVoyant的報告—第五份年度《供應鏈防衛》(Supply Chain Defence),其審視了快速演變的供應鏈生態體系,許多組織似乎沒有優先重視供應鏈網絡風險管理,或者沒有意識到供應鏈上的網絡安全漏洞。
近三分之二的英國受訪者表示,第三方網絡風險管理不是優先事項、或只是次要優先事項,有近34%表示他們不知道供應鏈內何時發生網絡安全事件。
供應鏈網絡安全漏洞的嚴重影響,從業務中斷到聲譽受損,加上監理罰金之威脅,已經引起董事會關注。對資安長及安全長而言,全面的瞭解供應鏈網絡安全,對提供有效監督至關重要。如果不考慮與第三方的關聯,董事會對組織網絡風險局勢的看法是不完整的,因為這些關聯在公司擴展的生態系統上扮演著關鍵角色。
令人憂慮的供應鏈網絡安全能見度不足
在報告中,英國企業中負責供應鏈網絡安全的長字輩經理人裡有95%表示,他們因為供應鏈的網絡安全漏洞而受到負面影響,此一比例在全球則為81%。以上突顯了對能見度的重大需求。董事會必須理解,組織的數位攻擊面通常比起所認為的更廣泛、更複雜。供應鏈的互聯性需要加強關注第三方風險,以維持健全的安全態勢。
參與與合作正在增加,但還是不夠
雖然對第三方風險管理(third-party risk management,TPRM)的意識增加,有更多的組織投資策略性的TPRM,但還是有很多工作要做。跨產業的TPRM意識正在成長,在過去的12個月這個領域有明顯的發展,而組織也投入更多時間、金錢到策略性TPRM相關活動上。組織日益提高與供應商的合作、採用自動化技術並管理服務層級協議(SLAs),以處罰不良的網絡安全衛生狀況。然而,朝向積極風險緩解及事件補救之路,還在繼續。
例如,很多公司過去主要關注提高第三方風險意識及落實基礎風險管理,而目前的重點已轉變到透過完善的TPRM計畫來優化管理。
雖然所有前述因素很明顯正在「改變局勢」,但還是有更多工作要做。顯而易見的,任何對企業營運重要的事,都是威脅者鎖定的標的,而這些標的不可避免只會因其規模及複雜性增加,而遭受攻擊的機會更高。在此,供應鏈已成為絕佳的例子。
供應鏈規模持續擴大
組織供應鏈的龐大規模,正加劇能見度與控制的不足。在2024年,員工人數在1,000至5,000人之間的組織,有80%表示他們與501至1萬個第三方供應商合作。而員工人數在10,001至15,000人之間的英國公司,在其第三方生態體系內的供應商數量在1,000至1萬個之間。
研究顯示,對於過去12個月有經歷過一件或以上供應鏈網絡事件的組織而言,事件數量與公司供應鏈生態體系的規模成正比。
在有101至500個供應商伙伴的英國企業裡,有54%表示遇過一件或以上的網絡安全事件,但這個比例會與其關聯的第三方數量而急遽增加。在有501至1,000個供應商伙伴的公司裡,99%遇過一件或以上的事件;而有1,001至1萬個供應商伙伴的公司裡,比例則為98%;而在有10,001至5萬個供應商伙伴的公司裡,幾乎全部在過去12個月,都因網絡安全事件而受過負面衝擊。此突顯了比率會因公司的供應鏈生態體系規模而直接增加。
潛在問題
出現了令人憂慮的模式:很多英國組織每半年一次評估關鍵的第三方供應商,如此導致眾多漏洞未受到檢查。大多數受調查的英國組織,無論其供應鏈生態體系的規模如何,都表示他們會每六個月評估一次關鍵的第三方供應商,唯一例外的是有1,001至1萬個供應商的組織,其中有32%每年評估一次,另30%每六個月評估一次。此顯示很多組織放任數以千計的第三方夥伴不處理,因此可能有數以萬計的漏洞。此類組織的董事會必須確認,能有效實施可行策略,以維持監督及能見度。
增加高階利害關係人(senior stakeholder)對第三方網絡安全風險之意識
隨著公司監控更多承包商、以及高階利害關係人的報告更為普遍及標準化,組織對第三方風險的瞭解一直在提升。
不過,挑戰仍然存在,在發現不確定應該由誰負責組織的網絡風險時,促使了英國國家網絡安全中心(National Cyber Security Centre,NCSC)提出新的指引,內容是關於資安長如何與董事會溝通,以增進對網絡風險的監督。在NCSC委託的研究裡,發現一些資安長不認為需要讓董事會參與網絡安全風險討論,因為董事感覺難以理解這些議題方面的專業術語,這就突顯了以簡單易懂的語言溝通之必要性。
為了更佳地處理供應鏈網絡安全風險,企業應該要:
*對所有層級啟動積極的能見度計畫—特別是董事會和長字輩主管層級。這包含跨部門及高階利害關係人簡報、報告及協作。
*優先實施有效的第三方網絡安全風險管理與合作,以減少違規風險。
*對第三方實施結構化的處罰,鼓勵那些未展現足夠網絡安全衛生、回應及補救措施者遵守相關規範。
*持續監控與評估所有供應商。
*引入分級監控—從簡單的問卷到進階的持續監控—考量成本與承包商的重要性。這會有助於緩解資源、技術和專業之挑戰。
*確保第三方網絡安全風險管理不會限於資訊科技或其他單一部門裡面。
*緊密地與第三方合作,完成補救流程。
*對所有問題分類及追蹤,關注每個細節,一直到完全修復。
透過準備和領導人支持來建立信心
雖然對第三方風險意識有所提升,但準備方面仍有不足。這兩者對於確保第三方生態體系、建立長字輩主管和董事會信心都很重要。藉由將網絡安全定位為風險管理的基礎支柱,組織可以更佳地保護關鍵營運,並確保面對未來挑戰的韌性。這一條路的起點是健全的第三方風險管理計畫,可以支持企業推動有效的業務延續計畫,並與所有利害關係人作進行策略合作。
沒有留言:
張貼留言