サプライチェーン全体でサイバーリスクを管理する5つの方法

現在、製品、システム、またはサービスの提供を支援するサードパーティサプライヤーの助けなしにビジネスを運営することはほとんど不可能です。外部パートナーと協力することで、顧客の高まる需要を満たすためのより合理化された効率的なプロセスなど、多くのメリットがもたらされます。同時に、特にサイバーセキュリティの分野では、新しいエンティティが新しいリスクをもたらす可能性があります。企業が集まって情報を共有すると、1つの企業のリスクがチェーン全体のリスクになります。

サプライチェーンのサイバー攻撃は増加傾向にあり、2021年の第1四半期に米国で42％増加しました。この種の攻撃は、単一の組織を通じて組織のWeb全体に侵入する機会を提供するため、サイバー犯罪者に特に人気があります。サードパーティのサプライヤー。

幸いなことに、他の種類のリスクと同様に、問題が発生する前にこれらの脅威を管理する方法があります。以下は、サプライチェーンへの攻撃の可能性を最小限に抑えるためにビジネスが実行できるいくつかの重要なアクションです。

リスク評価を実施します。 新しいサプライヤーとの関係を結ぶときは、サイバーセキュリティに関して彼らがどこに立っているかを確認することが重要です。彼らはどのようなコントロールを持っていますか？データを適切に保護するために使用されるプロセスとポリシーは何ですか？サプライヤーとあらゆる種類のデータ、特に機密性の高い顧客情報を共有している場合は、そのデータが安全に保たれることを知りたいと思います。

サプライヤーとの関係が全体的にどれほど重要になるかを検討することもお勧めします。それはあなたの直接のサプライチェーンの一部になるのでしょうか、それともアドホックベースで支援するのでしょうか？すべてのパートナーを精査する必要がありますが、サプライチェーンで不可欠な役割を果たすパートナーは、より多くのリスクを負い、より注意を払う必要があります。

セキュリティ要件を設定します。 サプライヤーとの透明な関係を促進し、あなたの間に明確な期待を設定するために、サプライヤーの方針を作成することが役立つ場合があります。

このようなドキュメントを使用すると、サイバーセキュリティとデータ保護に特化したセクションを作成し、サプライヤが実証できるセキュリティのレベルを概説できます。これを行う最も簡単な方法の1つは、既存の一連のサイバーセキュリティ標準および認証に準拠するようにサプライヤに依頼することです。米国では、国際的に認められているISO27001やNISTフレームワークなどが人気です。英国では、政府のサイバーセキュリティ標準であるCyber​​ Essentialsは、5つの重要な技術的管理と連携することにより、企業がリスクの80％を削減するのに役立ちます。これらの標準に準拠することは、サプライヤが優れたサイバーセキュリティ体制を示すための簡単な方法です。

サプライヤのセキュリティ要件を作成するときは、自分のビジネスがすでにそれらを満たしていることを確認することがベストプラクティスです。サプライチェーンに参加することで、サプライチェーン内の他のすべての人と自分自身を結び付けることができます。独自のセキュリティ体制を改善しても、チェーン全体が強化されるだけです。

サイバーセキュリティトレーニングを実施します。 ヒューマンエラーは依然としてサイバー攻撃の最大の原因です。そのため、これは対処すべき最も重要な要素の1つです。自社内でサイバーセキュリティ意識の文化を育むために常に取り組む必要がありますが、この慣行はサプライチェーン全体でも奨励する必要があります。

サプライヤーとリソースを共有して、サイバーリスクについて従業員を教育できるようにすることを検討してください。企業にガイダンスを提供する無料のオンライン演習や記事が多数あります。

安全なデータ転送。 サプライチェーン内のデータは、安全なチャネルを介して転送され、常に保護されている必要があります。ハッカーは、ある場所から別の場所に移動するときにデータを傍受する可能性が最も高いため、このプロセス中に優れたセキュリティを維持することがますます重要になります。転送する前にデータを暗号化することは、このリスクを最小限に抑えるための優れた方法です。

企業はまた、サプライチェーンに存在するさまざまな種類のデータと、そのすべてがどこにあるのかを完全に把握していることを確認する必要があります。これには、内部データ（およびバックアップシステム）と、サプライヤーがアクセスできるデータが含まれます。この情報は、感度が異なる可能性があります。一部の情報は非常に機密性が高い可能性がありますが、他の情報は公的にアクセス可能です。データを正しく分類してラベルを付けることで、データが悪用されるのを防ぐことができるため、最も価値のある情報がどこにあるかを知ることができます。

あなたも誰かのサプライヤーであることを忘れないでください。 多くの場合、ハッカーは中小企業を標的にしてサプライチェーンの残りの部分にアクセスし、サイバー防御が最小限であるか存在しないことを期待します。これは、2013年にメディアを襲った最初の主要なサプライチェーン攻撃の1つであり、Targetと協力しているサードパーティの請負業者が侵害され、ハッカーが小売業者の内部ネットワークから何百万もの顧客のクレジットカードの詳細を盗むことを可能にしました。

中小企業は、サプライヤのセキュリティを考慮する必要があるだけでなく、セキュリティリスクではないことを大規模なパートナーに納得させるために、高水準のサイバーセキュリティを維持する必要があります。多くの企業、特に公共部門では、契約を結ぶ前に、すべてのサプライヤが特定のセキュリティ基準を満たすことを要求しています。

サプライチェーン内のサイバー脅威を管理することは困難な作業である必要はありませんが、自分のリスクに責任を持ち、サイバーセキュリティの一貫した基準を維持することが重要です。すべてのパートナーのセキュリティプロセス、ポリシー、およびソリューションを理解することは、すべてのビジネスにとって最大の利益です。これらの手順は、サプライチェーン全体のリスクを軽減するだけでなく、クライアント、パートナー、および利害関係者に、彼らの秘密があなたにとって安全であることを示します。

Clive Maddersは、最高技術責任者です。 Cyber​​ Tec Security 。