Управление рисками партнерской стороны
По данным исследования Anchore (производитель компьютеров), в 2020 – 2021 гг. 64% компаний в той или иной степени пострадали от хакерских атак на системы снабжения, цепочки поставок.
Для изощренных киберпреступников именно цепочки поставок представляют наиболее желанную цель: одна атака сразу на многие цели. Взломы партнерских сетей могут обернуться серьезными финансовыми потерями, утратой ценной информации, замедлением работы организации, ударом по репутации, последующими судами, штрафами и т.п.
Управление рисками, связанными с поставщиками, клиентами, партнерами, представляет собой комплекс мер по анализу, контролю, мониторингу, упреждению рисков, исходящих от третьих сторон.
Эксперт Мишель Дролет выделяет несколько направлений программы минимизации таких рисков в публикации журнала Chief Security Officer, September, 2021.
Идентификация продавцов/провайдеров
Если у вас еще нет инвентарного полного списка всех партнеров по бизнесу, надо его сформировать. Начинайте список с крупных организаций и заканчивайте более мелкими фирмами, оказывающими вам услуги. Важно включить абсолютно все компании, даже те, которые взаимодействуют только с одним из ваших подразделений. Любая организация, пусть с минимальными контактами, может быть использована как канал атаки на вас.
Определение потенциальных рисков
Проведите классификацию партнеров по степени возможных рисков. Составьте вопросник по каждой компании, который поможет собрать наиболее важную информацию об оказываемых услугах, о том, к каким вашим данным партнер имеет допуск. К примеру, провайдер, оказывающий критически важную услугу (скажем, аутсорсинг), пользуется допуском к вашей весьма чувствительной корпоративной информации, но, следовательно, представляет потенциально большую угрозу.
Шкала оценки рисков
М. Дролет предлагает наиболее простую оценочную систему:
Высокий риск: требует немедленных корректирующих действий по упреждению и минимизации.
Средний риск: требует мер по устранению уязвимостей в течение определенного периода времени, который рассчитывается самой организацией.
Малый риск: либо он принимается таким, каким есть, либо минимизируется в течение продолжительного времени.
Следующий шаг: реагирование на риски
Для каждой из третьих сторон выбирается та или иная конфигурация мер по контролю и управлению рисками. Выбор инструментов широк. Это и шифрование данных. И мультифакторная идентификация для допуска к корпоративным данным. И продвинутая система безопасности, представляющая собой интегрированное решение для обеспечения безопасности конечных точек (компьютерных аппаратных устройств) от потенциальных угроз, которая сочетает в себе непрерывный мониторинг и сбор данных о конечных точках в режиме реального времени (Endpoint Detection and Response - EDR). И тренинги по ознакомлению персонала своей и партнерской организации с потенциальными рисками и угрозами.
Очень важно закрепить все требования по управлению рисками в тексте контракта с партнерами, чтобы последние помнили о них и неукоснительно следовали. Это пригодится, если разбор инцидента безопасности приведет обе стороны в суд.
Постоянный мониторинг рисков, связанных с партнерами
Автор статьи имеет в виду факторы, подверженные изменениям, такие как финансовое здоровье партнера, рыночная конъюнктура, способности своевременно обеспечивать продукты/услуги, требования регуляторов. Мониторинг должен охватывать весь период сотрудничества – от подписания контракта до его полного завершения.
© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60,
Е-mail:sb@amulet-group.ru
|