近期,各种各样范围的对于工业生产方面的互联网攻击总数在明显提升,风险性在供应链上持续扩散。ESG对中小型销售市场和公司生产制造单位的150名网络信息安全和IT专业人员开展的调研发觉,53%的人表明它们的经营技术性(OT)基础设施建设非常容易遭受某类类别的互联网攻击,而一样总数的人表明,她们在过去的12-24个月内早已遭到了互联网攻击或别的安全事故,影响了他俩的OT基础设施建设。
生产商是贸易国互联网的一部分,这种互联网相辅相成,当他们遭受影响时,影响会蔓延到供应链中的全部多方。对一级供应商的攻击所产生的影响很有可能与攻击最开始渗入您自身的OT互联网一样具备毁灭性。生产流水线很有可能会被关掉,造成很大的成本费,对收益造成消极影响,并造成信誉损伤。
很多年来,威胁个人行为者一直利用供应链中的薄弱点,做为渗入其他组织的垫脚石。我们都你是否还记得近十年前的Target网络安全问题事情,攻击者利用从中央空调系统经销商处盗取的凭据进到Target的互联网,并横着挪动,直到最后盗取上百万顾客的信用卡和私人信息。两年后,NotPetya勒索病毒是另一个备受关注的供应链攻击,它最开始危害了一家乌克兰国家代理记账公司的手机软件,之后影响到跨国企业,可能导致100亿美金的损害。近期,SolarWinds Orion软件泄漏和SUNBURST侧门促使威胁个人行为者可以进到全世界诸多机构。本次攻击的标准和影响仍在掌握中。
领域行为
供应链网络信息安全现阶段已变成各领域管理层和安全性管理者的关键考量要素,政府部门、领域团队和监管部门也在付诸行动,勤奋减少风险性。伴随着COVID-19疫苗离实际愈来愈近,IBM公布了对于COVID-19疫苗供应链的不明威胁个人行为者的警示,注重了降低OT自然环境曝露的重要性、攻击者工作能力的提高及其供应链风险性的迫切性和严重后果。在电力企业内,"维护大家的电力工程 "明确提出了(PDF)一个端到端的互联网供应链风险管控实体模型架构,做为监管部门应用的基准线。新的汽车制造业网络信息安全政策法规(PDF)将从2024年7月起强制性规定全部在欧盟国家生产制造的新汽车遵循,日本和韩也将执行相近的要求。而新的网络信息安全规范将在车辆的一整个周期内创建 "网络信息安全设计方案",现阶段已经制订中。
安全性管理者可以做什么
供应链互联网风险性是错综复杂的,超越商品的一整个生命期--超越设计方案、生产制造、分销商、储存和维护保养。生命期越长、越繁杂,威胁个人行为者就会有更多的机遇根据对于供应链中不太安全性的要素来利用商品。因为供应链通常是世界性的,并超越好几个层次的经销商,因而安全管理并非由单一机构担负的。每一个组员都需要饰演一个人物角色,这促使供应链的互联网风险性在减轻层面尤其具备趣味性。
这就是为啥制订业务连续性方案时,管理层们必须将眼光看向自身企业以外,还需要考量其隶属经销商所采用的安全防范措施,及其她们怎样相反管理方法和减轻其拓展的经销商互联网的风险性。这五个流程可以给予协助:供应链互联网风险性很繁杂,跨过商品的一整个生命期--超越设计方案、生产制造、分销商、储存和维护保养。生命期越长、越繁杂,威胁个人行为者就越还有机会根据对于链中不太安全性的要素来利用商品。因为供应链通常是世界性的,并超越好几个层次的经销商,因而安全管理并非由单一机构担负的。每一个组员都需要饰演一个人物角色,这促使供应链的互联网风险性在减轻层面尤其具备趣味性。
这就是为啥制订业务连续性方案时,管理层们必须将眼光看向自身企业以外,还需要考量其隶属经销商所采用的安全防范措施,及其她们怎样相反管理方法和减轻其拓展的经销商互联网的风险性。这五个流程可以给予协助。
1. 沟通交流和评定。管理方法这一重要风险性最先要明确购置的内部结构义务,并核查合作方的步骤安全性。这就必须法律法规精英团队的参加,除此之外还必须各工作企业和地区的技术性和工作线领导干部的参加。领导者必须与供应链攻击有关的威胁情报信息,便于对业务流程风险性作出睿智的管理决策。安全性购置和个人信息保护务必包囊在与合作方和内部结构相关者的有效的沟通中。
2. 详尽的实际操作识别性。考虑到一个专业的工业生产网络信息安全解决方法,可以摆脱OT特有的挑戰,主要包括欠缺规范化技术性,应用专用协议书,及其对重要步骤终断的低承受度。一个可以连续监测和检验全部OT互联网威胁的服务平台,联接到您机构目前的可靠互联网,而且还联接到与您的供应链合作方的全部接入点,将这类由此可见性拓展到全部重要方。
3. 一致的网络信息安全规范。紧跟新产生的政策法规和规范及其新的报警。遵循7月23日CISA警报中详细描述的领域特殊提议,这有利于缓解英国全部16个重要基础设施建设单位的OT财产与互联网技术日益增加的衔接所推动的互联网风险性提升。
4. 加强网络信息安全同盟。由于现阶段的重要迫切性,很多管理层和监事会成员早已逐渐关心经营问题,并更为意识到为何有着合理的互联网防御力技术性和步骤针对保证易用性、稳定性和安全尤为重要。做为安全性管理者,应把握住机会,为适用现阶段和明天的工业生产网络信息安全方案争得跨行政部门的认可。
5. 合作方法。你的供应链就是你的商务生态体系的一个构成部分。因而,它必须变成您的安全性生态体系的一个构成部分,并以同样的防御力水准开展维护。根据云的解决方法简单化了与重要供应链合作方的安全性联接。他们还可以更安全性,更非常容易升级,并有更快的新作用加上。可是,即使因为管控规定,在您的领域内向型云计算技术衔接还不行得通,您依然可以设定标准,并与您的供应链合作方共享相关系统漏洞和环境卫生风险性的汇报和看法。
那麼,返回问题上去。"你的生产商的安全性就是你的业务流程吗?" 回答是毫无疑问的。它不但是您的业务流程,并且您的销售业务的以后很有可能会遭受威胁。幸运的是,您可以采用一些方法来减少风险性,并且如今恰好是迅速活动的最佳时机。