تجنب الانتهاكات المكلفة من خلال ترقية إدارة مخاطر المورّدين التابعين لجهات خارجية

وفقًا لـ دراسة بونيمون، تعرضت 59% من الشركات التي شملتها الدراسة لخرق البيانات بسبب مورديها الخارجيين. في حين أن خروقات البيانات يمكن أن تحدث بسبب عدة مصادر، فقد تم العثور على تلك التي تشمل طرفًا ثالثًا زيادة التكلفة الإجمالية لخرق البيانات بما يقرب من 370 ألف دولار. وبالنظر إلى أن خروقات البيانات تؤثر على سمعة المؤسسة وإيراداتها وامتثالها، لم يعد من الممكن أن تكون إدارة مخاطر البائعين من الجهات الخارجية فكرة ثانوية.

نظرًا لمستوى وصول معظم البائعين إلى شبكة المؤسسة، فإن أطر إدارة المخاطر التقليدية لا تفي بالغرض. تركز الاستراتيجيات التقليدية على فحص البائعين، وإجراء عملية تأهيل قوية، والتقييمات الدورية. ومع ذلك، فإن مشهد التهديدات الإلكترونية سريع التطور يجعل هذه التقييمات والنتائج قديمة، في غضون بضعة أيام أو أسابيع.

يتضح فشل إدارة مخاطر البائعين التقليدية في العديد من الانتهاكات البارزة. بدءًا من اختراق Target في عام 2013، وحتى خروقات Facebook و Airbus الأخيرة، تم تتبعها جميعًا إلى البائعين الخارجيين المعنيين. لذلك، يستدعي هذا نهجًا أكثر ديناميكية لإدارة مخاطر البائعين، والذي يغطي مجموعة واسعة من المخاطر المتعلقة بالموردين.

في هذه المقالة، نستكشف:

• المخاطر المرتبطة بموردي الطرف الثالث
• المخاطر الشائعة في استراتيجيات إدارة مخاطر البائعين التقليدية
• طرق لترقية إدارة مخاطر البائع وتقليل المخاطر المرتبطة بشكل فعال

المخاطر المرتبطة بموردي الطرف الثالث

تعد الاستعانة بمصادر خارجية جزءًا لا يتجزأ من معظم الشركات لأنها توفر:

• المرونة: تقديم قوة عاملة ديناميكية وعمليات قابلة للتكيف.
• قابلية التوسع: الوصول إلى أسواق جديدة وخدمة المزيد من العملاء.
• الخبرة: تقديم الطعام لمختلف القطاعات والصناعات.
• خفض التكاليف: التوفير في البنية التحتية والتكاليف التشغيلية.

لهذه الأسباب، فإن الاستعانة بمصادر خارجية موجودة لتبقى. ومع ذلك، ومع تزايد ترابط البائعين والمؤسسات، تتضاعف مخاطر الأمن السيبراني أيضًا. يعمل البائعون كنقطة دخول للجهات الفاعلة في مجال التهديد لتشق طريقها إلى شبكات الشركة من خلال:

• استغلال الثغرات الأمنية في أنظمة المورد

على الرغم من أن الشركة تتحكم في تصحيح أصولها وتحديثها، إلا أنها لا تستطيع مراقبة أنظمة المورد والتأكد من أنها تفعل الشيء نفسه.

كان خرق بيانات Ticketmaster بسبب ثغرة أمنية في نظام البائع الخاص بهم:

أ خرق البيانات في Ticketmaster، وهي شركة أمريكية لبيع وتوزيع التذاكر، تم إرجاعها إلى شركة Inbenta، وهي طرف ثالث يدير وكيل دعم عملاء Ticketmaster. كانت Inbenta واحدة من 800 ضحية استهدفتهم حملة سرقة بطاقات الائتمان الرقمية لشركة Magecart. استهدف أحد المهاجمين خوادم Inbenta الأمامية، حيث قاموا بتخزين مكتبات التعليمات البرمجية التي يستخدمها Ticketmaster. بعد ذلك، من خلال استغلال عدد من الثغرات الأمنية، قام المهاجم بتعديل الشفرة لسرقة بيانات العملاء.

• استخدام بيانات اعتماد الشبكة/النظام التي كشفها الموردون

يحتاج البائعون عادةً إلى الوصول عن بُعد إلى أنظمة الشركة من أجل الوصول إلى البيانات والتطبيقات، أو لتنفيذ أنشطة الصيانة. ويمكن للبائعين ترك بيانات اعتماد الشبكة مكشوفة، أو يمكن للجهات الفاعلة في مجال التهديد اختراق شبكة المورد لسرقة بيانات الاعتماد. يعد هذا ضارًا بشكل خاص، إذا لم يكن هناك تقسيم مناسب للشبكة، مما يمنح ممثل التهديد وصولاً غير مقيد إلى الشركة.

استخدمت الجهات الفاعلة في مجال التهديد بيانات اعتماد البائع المسروقة للوصول إلى شبكة PoS الخاصة بـ Target

في واحدة من أولى الاختراقات الرئيسية، قامت الجهات الفاعلة في مجال التهديدات بتحميل BlackPOS إلى شبكة نقاط البيع (PoS) الخاصة بـ Target، مما سمح لهم بسرقة معلومات بطاقة الائتمان والتفاصيل الشخصية الأخرى. تبين لاحقًا أن الجهات الفاعلة في مجال التهديد كانت قادرة على ذلك حل وسط السيرفرات المستهدفة باستخدام أوراق الاعتماد المسروقة من Fazio Mechanical Services. كان لدى Fazio، بائع HVAC لشركة Target، حق الوصول إلى خوادم Target. وبسبب التجزئة غير الصحيحة للشبكة، تمكنت الجهات الفاعلة في مجال التهديد من اختراق شبكة PoS الخاصة بـ Target.

• استخدام شفرة المصدر التي تم تسريبها من قبل البائعين

تحافظ معظم الشركات على سرية شفرة المصدر الخاصة بها. لذلك، على عكس البرامج مفتوحة المصدر، لا يمكن للجمهور عرض شفرة المصدر الخاصة بهم أو تعديلها. عادةً ما تجد شفرة المصدر المسربة طريقها إلى مواقع الويب المظلمة، حيث ستكون الشفرة متاحة للقراصنة حتى بعد إزالتها من الموقع الأصلي. ثم يستخدم المتسللون شفرة المصدر للعثور على نقاط الضعف التي يمكن استغلالها لشن هجمات إلكترونية على الشركة وعملائها.

قام الشركاء بتسريب الكود المصدري لأكواد مصدر Team Fortress 2 و CS:GO

تم العثور على أكواد مصدر Team Fortress 2 و Counter-Strike: Global Offensive (CS:GO) عبر الإنترنت ثم تم تحميلها على مواقع التورنت. أكدت CS:GO أن الشفرة تمت مشاركتها في الأصل مع شركائها في عام 2017، وتم تسريبها لاحقًا. وعلى الرغم من التأكيدات بأن التسرب لا يؤثر على اللاعبين الحاليين، إلا أن العديد من لقطات الشاشة ومقاطع الفيديو ظهرت، بزعم أنها عمليات استغلال لتنفيذ التعليمات البرمجية عن بُعد (RCE) استنادًا إلى الشفرة المسربة. وبالتالي، تؤثر على سمعة الألعاب.

• المعلومات الحساسة التي كشفها الموردون

في الماضي القريب، كانت هناك عدة حالات قام فيها البائعون بالكشف عن مجموعات تخزين Amazon وقواعد البيانات التي يمكن الوصول إليها عبر الإنترنت. وهذا يمنح الجهات الفاعلة في مجال التهديد وصولاً سهلاً إلى المعلومات الحساسة، التي يبيعونها بعد ذلك على الويب المظلم، لمن يدفع أعلى سعر.

كشف البائعون عن 540 مليون سجل لمستخدمي Facebook

كشفت شركة الوسائط الرقمية Cultura Colectiva التي تتخذ من المكسيك مقراً لها 146 غيغابايت من بيانات مستخدم Facebook، بما في ذلك التعليقات والإعجابات وأسماء الحسابات وردود الفعل ومعرفات Facebook، على مجموعة Amazon S3 غير الآمنة. كشفت مجموعة S3 أخرى، تنتمي إلى تطبيق Facebook المتكامل At The Pool، عن 22,000 من قوائم الأصدقاء والاهتمامات والصور وعضويات المجموعات وعمليات تسجيل الوصول الخاصة بمستخدمي Facebook.

المخاطر الشائعة في استراتيجيات إدارة مخاطر البائعين التقليدية

في حين أن أطر إدارة مخاطر البائعين التقليدية هي نقطة انطلاق جيدة، إلا أن هناك بعض المجالات التي تحتاج إلى معالجتها لتكون فعالة في عالم شديد الترابط. يجب أن تقوم إدارة المخاطر الديناميكية من طرف ثالث بما يلي:

• عنوان موردي الطرف الرابع/التاسع

استطلاع عام 2019 وجدت أن 2٪ فقط من المنظمات تحدد وتراقب جميع المقاولين من الباطن. وتراقب 8% من المؤسسات المقاولين من الباطن فقط للبنية التحتية الحيوية وتكنولوجيا المعلومات. أما نسبة 90% المتبقية فقالت إنها تفتقر إلى المهارات المطلوبة لمراقبة الأطراف الرابعة/التاسعة.

• التكيف مع مشهد التهديدات الإلكترونية المتطور باستمرار

تقوم المؤسسات عمومًا بإجراء تقييمات لمخاطر البائعين، في وقت الالتحاق، وعلى فترات منتظمة بعد ذلك. خلال الفترات الفاصلة بين التقييمات، تظهر نقاط ضعف جديدة وعمليات استغلال وسلالات من البرامج الضارة وبرامج الفدية. والتقييم لا يأخذ في الحسبان هذه الأشياء المجهولة.

• استفد من الأتمتة والتكنولوجيا

لا تقدم أطر إدارة مخاطر البائعين القياسية منصة مشتركة ومتكاملة تتعقب العملية من البداية إلى النهاية من تحديد المخاطر وتحديد الأولويات إلى تتبع المشكلات والتخفيف من حدتها. كما أنها لا توفر معلومات قابلة للتنفيذ، يمكن للمؤسسات الاستفادة منها، لاتخاذ قرارات أفضل للأمن السيبراني.

طرق لترقية إدارة مخاطر البائع وتقليل المخاطر المرتبطة بشكل فعال

تحتاج الشركات إلى ترقية عملية إدارة مخاطر البائعين القياسية، للتأكد من أن مورديها لا يعرضون بياناتهم وشبكاتهم للخطر. يمكن للمنظمات القيام بذلك من خلال دمج بعض الأدوات والعمليات الفعالة مثل:

• تحديث المعايير التعاقدية

قم بتحديث العقود لمراعاة المتطلبات التنظيمية وخصوصية البيانات الجديدة. وتأكد من التزام البائع بالكشف عن المخاطر وانتهاكات البيانات في الوقت المناسب. ومن شأن ذلك أن يساعد أيضًا في تحديد العمليات للتخفيف من المخاطر والاستجابة لانتهاكات البيانات.

• التركيز على إدارة مخاطر الطرف التاسع

تأكد من حصولك على رؤية كاملة لبائعي البائع. حدد ما إذا كانت المنتجات والخدمات يتم توفيرها مباشرة من قبل البائع أو من قبل المقاول من الباطن. ولديها اتفاقيات تعاقدية مع البائعين الذين يفرضون مثل هذه الإفصاحات.

• المراقبة المستمرة لمخاطر البائع

قم بدمج العمليات والأدوات التي تضمن مراقبة المخاطر المتعلقة بالبائع حتى بين التقييمات المنتظمة. يتضمن ذلك المراقبة في الوقت الفعلي للويب السطحي والويب العميق والويب المظلم للحصول على شفرة المصدر والمعلومات الحساسة وبيانات الاعتماد. آن دراسة آي بي إم وجدت ذلك ال متوسط الوقت اللازم لتحديد الهوية (MTTI) هو 197 يومًا. خلال هذه الفترة الزمنية، تم إنشاء منصة SaaS شاملة مثل CloudSek's الجيل السادس عشر، سوف يساعد. يقوم محرك xviGil القائم على الذكاء الاصطناعي بالبحث في الإنترنت عن التهديدات المتعلقة بمؤسستك، ويعطيها الأولوية حسب الخطورة، ويوفر تنبيهات في الوقت الفعلي. وبالتالي، يمنحك الوقت الكافي للتخفيف من التهديدات، قبل أن يكون لها آثار سلبية على عملك.