Podjetja, ki jih evropska direktiva NIS 2 uvršča med bistvene in pomembne subjekte, bodo morala preverjati stanje kibernetske varnosti pri svojih dobaviteljih in poslovnih partnerjih – predstavljamo preprosto in cenovno ugodno rešitev.

Evropska direktiva NIS 2, katere določbe smo maja letos prek novega zakona o informacijski varnosti (ZinfV-1) prenesli v slovenski pravni red, poseben poudarek daje kibernetskim napadom prek dobavne verige. Tako evropska direktiva kot slovenski zakon od podjetij, ki sodijo med bistvene in pomembne subjekte, med drugim izrecno zahtevata, da pri oceni in obvladovanju kibernetskih tveganj upoštevajo ranljivosti v svoji dobavni verigi – to pomeni pri dobaviteljih, pogodbenih partnerjih in tretjih izvajalcih. 

Poleg bonitetnih ocen na finančnem področju bodo morala podjetja tako izvajati oceno svojih partnerjev na področju kibernetske varnosti. To lahko pomeni dodatno obremenitev zaposlenih ali celo zaposlovanje dodatnih ljudi in s tem povezane dodatne stroške.

Dobavna veriga postaja čedalje večje kibernetsko tveganje

Kibernetski napadi prek dobavne verige postajajo eden izmed glavnih načinov kibernetskih kriminalcev, s katerim želijo zaobiti varnostne sisteme v podjetjih. Gre za napade, pri katerih hekerji ciljne organizacije ne napadejo neposredno, temveč izkoristijo ranljivosti pri njenih dobaviteljih oziroma zunanjih partnerjih. Ko uspejo vdreti v enega izmed njih, lahko prek njega pridobijo dostop do več povezanih podjetij hkrati.

Zelo pogosto se vdor zgodi prek ponudnikov IT-storitev, pa tudi prek ponudnikov logističnih, računovodskih in drugih poslovnih storitev. Za ilustracijo navajamo nekaj odmevnejših primerov iz zadnjih dveh let:

Salesloft Drift: V prvi polovici letošnjega avgusta se je zgodil napad na dobavno verigo prek AI-pogovornega vmesnika Salesloft Drift, ki se uporablja za klepet in podporo strankam. Napadalci so prek Driftove integracije dobili dostop podatkov strank podjetja Salesforce – vključno z imeni, e-poštnimi naslovi in poslovnimi informacijami. Ogroženi so bili podatki približno 700 podjetij, med njimi tudi takšnih kot sta Palo Alto Networks in Zscaler. 

Marks & Spencer: Britanska trgovska veriga Marks & Spencer (M&S) je letos aprila doživela ransomware napad, ki je bil izpeljan prek njihovega tehnološkega partnerja Tata Consultancy Services (TCS). Napadalci, skupina Scattered Spider, so s sofisticiranim phishingom in socialnim inženiringom pridobili dostop do TCS-jevega sistema, kar je omogočilo vstop v M&S-ovo omrežje in posledično izvedbo ransomware napada, ki je močno ohromil poslovanje 141 let stare britanske trgovske verige.

Airbus: Hekerska skupina je januarja 2023 izvedla napad na največjega evropskega proizvajalca letal prek kompromitiranega uporabniškega računa zaposlenega pri turški letalski družbi Turkish Airlines, ki je eden od Airbusovih partnerjev. Napadalci so pridobili tudi dostop do Airbusovih sistemov. Ogrožene so bile osebne informacije več kot 3.000 Airbusovih dobaviteljev. Med razkritimi podatki so bila imena, telefonske številke in elektronski naslovi.

MOVEit: Incident MOVEit se je odvil junija leta 2023, ko so napadalci izkoristili kritično ranljivost v programski opremi MOVEit Transfer podjetja Progress Software. Ranljivost je omogočila nepooblaščen dostop prek SQL vrivanja. Za napad je bila odgovorna ruska izsiljevalska skupina Cl0p, ki je vdor izkoristila za izsiljevanje in grožnje z objavo ukradenih podatkov. Prizadetih je bilo več kot 2.700 organizacij, razkriti pa so bili podatki več kot 93 milijonov posameznikov. 

Raziskava britanskega podjetja za obvladovanje tveganj Risk Ledger je pokazala, da je v zadnjem letu kar 46 odstotkov organizacij doživelo vsaj dva takšna incidenta, ameriško podjetje s področja kibernetske varnosti BlueVoyant pa poroča, da jih je 81 odstotkov občutilo negativne posledice. Poročilo ameriškega ponudnika kibernetskega zavarovanja Cowbell obenem kaže, da se je število tovrstnih incidentov v zadnjih letih povečalo za več kot 400 odstotkov in se bo v prihodnje še naprej strmo povečevalo. Analitska hiša Gartner denimo napoveduje, da bo letos napad prek programske dobavne verige izkusilo 45 odstotkov vseh podjetij.

Kakšne obveze postavlja zakonodaja

V skladu z direktivo NIS 2 morajo bistveni in pomembni subjekti med drugim:

izvajati presojo tveganj v dobavni verigi, kar pomeni, da morajo izdelati oceno tveganja za vsakega dobavitelja posebej in analizirati, kateri dobavitelji predstavljajo kritične točke,

vzpostaviti ustrezne politike izbire in nadzora dobaviteljev, kar pomeni, da je treba v pogodbe vključevati varnostne zahteve, zahtevati ustrezne certifikate in izvajati redne varnostne preglede,

zagotavljati lastno kibernetsko odpornost tudi v primeru napadov na poslovne partnerje,

poročati o incidentih, tudi če se zgodijo prek zunanjih izvajalcev.

SecurityScorecard – avtomatizacija spremljanja kibernetske varnosti dobaviteljev

Podjetja se lahko dodatnim zaposlitvam in s tem povezanim stroškom izognejo, če spremljanje stanja kibernetske varnosti dobaviteljev avtomatizirajo. Telekom Slovenije za ta namen ponuja napredno platformo SecurityScorecard, ki omogoča stalno in avtomatizirano spremljanje kibernetske varnosti dobaviteljev, partnerjev in izvajalcev. Rešitev podjetjem omogoča sproten vpogled v njihovo varnostno stanje, pri čemer za vsako izračuna varnostno oceno na podlagi različnih podatkov, tehničnih analiz in skeniranja ranljivosti. 

Ocena se izračuna na lestvici od A do F, pri čemer se upoštevajo različni parametri, kot so konfiguracije sistemov, zgodovina incidentov, izpostavljenost ranljivostim in drugi kazalniki. Namen rešitve je zmanjšanje obremenitev zaposlenih z novo regulativo, upravljanje tveganj, pospešitev vključevanja novih dobaviteljev, krepitev zaupanja med partnerji in skladnost z zakonodajo, ki ureja področje kibernetske varnosti.

Hitra implementacija, fleksibilno obračunavanje

SecurityScorecard v Telekomu Slovenije priporočajo srednje velikim in velikim podjetjem, zlasti tistim iz sektorjev z visokimi varnostnimi zahtevami, kot so finančne storitve, zdravstvo, zavarovalništvo, fintech, kritična infrastruktura in organizacije, ki obdelujejo občutljive osebne podatke in so zaradi tega najpogostejše tarče kibernetskih napadalcev.

Implementacija rešitve je hitra – večina organizacij jo začne uporabljati v roku od dveh dni do nekaj tednov, odvisno od kompleksnosti okolja. Obračunavanje storitve je prilagodljivo – od brezplačne preskusne različice za vpogled v lastno varnostno oceno do naprednih paketov, ki omogočajo spremljanje poljubnega števila dobaviteljev. Cena se prilagajajo obsegu in zahtevnosti spremljanja, kar omogoča učinkovito upravljanje tveganj tudi v kompleksnih okoljih.

Najpomembnejše je, da SecurityScorecard ne ščiti le podjetja samega, temveč postavlja višji standard za varnost in obvladovanje tveganja v celotni dobavni verigi.

Želite izvedeti, kako varno je vaše podjetje?

Izpolnite obrazec in pripravili vam bomo brezplačno varnostno oceno vašega podjetja ter vpogled v ranljive točke točno tako, kot jih vidijo zunanji napadalci.

Klikni na naslednjo povezavo – https://www.telekom.si/velika-podjetja/varnostne-resitve/security-scorecard#brezplacna-ocena