برامج الفدية هي أكبر خطر على سلسلة التوريد في أذهان محترفي تكنولوجيا المعلومات
تعد Ransomware أكبر مخاطر سلسلة التوريد التي تواجه المنظمات اليوم، وفقًا لمسح صدر يوم الإثنين من قبل ISACA، وهي جمعية لمتخصصي تكنولوجيا المعلومات تضم 140 ألف عضو في 180 دولة.
وجد الاستطلاع، استنادًا إلى ردود أكثر من 1300 من محترفي تكنولوجيا المعلومات ممن لديهم رؤى حول سلسلة التوريد، أن ما يقرب من ثلاثة أرباع المستجيبين (73٪) قالوا إن برامج الفدية كانت مصدر قلق رئيسي عند النظر في مخاطر سلسلة التوريد لمنظماتهم.
تضمنت المخاوف الرئيسية الأخرى الممارسات السيئة لأمن المعلومات من قبل الموردين (66٪) ، والثغرات الأمنية للبرامج (65٪)، وتخزين بيانات الطرف الثالث (61٪) ومقدمي الخدمات أو البائعين التابعين لجهات خارجية الذين لديهم وصول مادي أو افتراضي إلى أنظمة المعلومات أو البرامج. كود أو IP (55٪).
قد يكون القلق المتزايد بشأن برامج الفدية لأنه قد يكون له تأثير مضاعف على المؤسسة.
أوضح كريس: “أولاً، هناك خطر أن يجد المهاجم مسار هجوم إلى مؤسسة من بائع مخترق أو اعتماد على البرامج، كما رأينا في هجمات SolarWinds و Kaseya التي أثرت على عدد هائل من ضحايا المصب عبر سلسلة التوريد هذه”. كليمنتس ، نائب رئيس هندسة الحلول في Cerberus Sentinel، وهي شركة استشارية في مجال الأمن السيبراني واختبار الاختراق في سكوتسديل ، أريزونا.
وتابع: “ثم هناك تأثيرات ثانوية، حيث قد تسرق عصابة برامج الفدية البيانات المخزنة لدى مزود تابع لجهة خارجية وتحاول ابتزاز كلتا المؤسستين من خلال التهديد بالإفراج عنها علنًا إذا لم يتم دفع فدية”.
وقال لـ TechNewsWorld: “الجانب الآخر من العملة هو أن هجوم الفدية على سلسلة التوريد الخاصة بالمؤسسة يمكن أن يتسبب في اضطراب تشغيلي كبير، إذا كان الطرف الثالث الذي تعتمد عليه غير قادر على تقديم الخدمات بسبب الهجوم الإلكتروني”.
زعيم الجهل
يمكن أن يكون لتلك الهجمات على سلسلة توريد البرمجيات تأثير مضاعف على سلسلة التوريد المادية. “تساهم برامج الفدية في حدوث اضطرابات كبيرة في سلسلة التوريد الخاضعة للضريبة بالفعل عندما يتم قطع اتصال الأنظمة التي تدير تصنيع وتوزيع السلع والخدمات”، كما لاحظ إريك كرون، مدافع التوعية الأمنية لـ KnowBe4، وهو مزود تدريب للتوعية الأمنية في كليرووتر بولاية فلوريدا.
وقال لـ TechNewsWorld: “يمكن أن يؤثر هذا على طلب وتتبع مخزون المواد اللازمة لصنع العناصر، ويؤثر على تتبع حالة العناصر المطلوبة لملء الطلبات ويمكن أن يخلق مشاكل لوجستية في توصيل المواد للعملاء، مما يؤدي إلى نقص في عملائهم”.
وأضاف: “في عالم من تلبية الطلبات في الوقت المناسب، يمكن لأي تأخير أن يتدرج في سلسلة التوريد، مما يؤثر على المزيد والمزيد من الأشخاص على طول الطريق”.
كشف ما يقرب من ثلث محترفي تكنولوجيا المعلومات الذين شملهم الاستطلاع (30٪) أن القادة في مؤسساتهم لم يكن لديهم فهم كافٍ لمخاطر سلسلة التوريد. قال روب كلايد ، مدير مجلس إدارة إيساكا ، لموقع TechNewsWorld: “حقيقة أن النسبة كانت 30٪ فقط كانت مشجعة إلى حد ما”. “قبل بضع سنوات كان هذا الرقم أعلى بكثير.”
قال كليمنتس: “أعتقد أن الكثير من الجهل يأتي ببساطة من التقليل إلى حد كبير من عدد التبعيات وأهميتها في عمليات المنظمة”.
“غالبًا ما تتطلب أدوات الجهات الخارجية هذه، بطبيعتها، حقوقًا إدارية للعديد من أجهزة العميل التي يتفاعلون معها، إن لم يكن جميعها، مما يعني أن حل وسط واحد فقط من هؤلاء الموردين قد يكون كافيًا لتهديد بيئات عملائهم تمامًا.”
“وبالمثل، غالبًا ما يكون هناك جهل بمدى اعتماد العديد من المؤسسات على موردي الجهات الخارجية،” تابع، “معظم المؤسسات التي أعرفها ليس لديها خطة احتياطية جاهزة للعمل إذا كان مزود رئيسي مثل اتصالات البريد الإلكتروني الخاصة بهم كان النظام الأساسي يعاني من انقطاع ممتد “.
الوريد المتشائم
حتى في المواقف التي يفهم فيها القادة المخاطر التي تتعرض لها سلسلة التوريد الخاصة بهم، فلن يخطئوا في جانب الأمن. لاحظ Casey Bisson ، رئيس علاقات المنتج والمطورين في BluBracket، وهي شركة لخدمات الأمن السيبراني في مينلو بارك، كاليفورنيا: “في المواقف التي يتعين فيها على الشركات الاختيار بين الأمان والنمو، في كل مرة تراها تختار النمو”.
“هذا يأتي على مخاطر عملائهم. هذا يأتي على حساب الشركة نفسها “، قال لـ TechNewsWorld. “ولكن بشكل متزايد، بدأنا نرى المديرين التنفيذيين يتحملون المسؤولية عن هذه الخيارات.”
وجد استطلاع ISACA أيضًا وجود شريان قوي للتشاؤم بين محترفي تكنولوجيا المعلومات حول الآفاق الأمنية لسلاسل التوريد الخاصة بهم. أشار 44٪ فقط إلى أن لديهم ثقة عالية في أمان سلسلة التوريد الخاصة بمؤسستهم، بينما يتوقع 53٪ أن تظل مشكلات سلسلة التوريد كما هي أو تزداد سوءًا خلال الأشهر الستة المقبلة.
كانت إحدى النتائج الأكثر إثارة للدهشة في الاستطلاع هي أن 25٪ من المؤسسات قالت إنها تعرضت لهجوم سلسلة التوريد في الأشهر الـ 12 الماضية. قال كلايد: “لم أكن أعتقد أنه سيكون قريبًا من هذا الارتفاع”.
“على الرغم من أن العديد من المؤسسات قد تعرضت لهجمات إلكترونية في الأشهر الـ 12 الماضية، إلا أنني لم أعتقد أنه سيكون هناك العديد من المشكلات التي تنسبها إلى مشكلة في سلسلة التوريد. إذا طرحنا هذا السؤال قبل عدة سنوات، لكان ذلك عددًا منخفضًا جدًا “.
وفي الوقت نفسه، قال أكثر من ثمانية من كل 10 خبراء تقنيين (84٪) إن سلاسل التوريد الخاصة بهم تحتاج إلى حوكمة أفضل مما هي عليه الآن.
قال أندرو هاي ، مدير العمليات في Lares، وهي شركة استشارية لأمن المعلومات في دنفر: “الطريقة التي نحاول بها اعتماد شركاء سلسلة التوريد اليوم لا تعمل”.
قال لـ TechNewsWorld: “إما أننا نولد نتيجة عشوائية بناءً على بيانات المسح الخارجية والثقة المستندة إلى IP أو نحاول إجبارهم على ملء 100 سؤال أو أكثر على جدول بيانات”. “لا يصور أي منهما بدقة مدى أمان المؤسسة.”
التدقيق مطلوب
أشار مايك باركين، كبير المهندسين التقنيين في شركة فولكان سايبر، وهي مزود SaaS لمعالجة المخاطر الإلكترونية للمؤسسات في تل أبيب بإسرائيل، إلى أن هناك عدة عوامل تلعب دورًا عند محاولة تأمين سلسلة التوريد.
قال لـ TechNewsWorld: “المنظمات لديها رؤية كاملة فقط في بيئتها الخاصة، مما يعني أنه يتعين عليها الوثوق بمورديها الذين يتبعون أفضل الممارسات”. “هذا يعني أنهم بحاجة إلى تضمين الحالات الطارئة عندما يتم اختراق بائع تابع لجهة خارجية أو إنشاء عملية تقيد بشدة الضرر الذي يمكن أن يحدث في حالة حدوث ذلك.”
وتابع: “يكون الأمر أكثر تعقيدًا عندما تحتاج منظمة ما إلى التعامل مع بائعين متعددين للتعويض عن النقص أو الاضطرابات”. “حتى مع أدوات إدارة المخاطر الصحيحة، قد يكون من الصعب حساب كل شيء في اللعبة.”
وأضاف كرون أنه يجب أن يكون هناك بعض الثقة في الموردين؛ ومع ذلك، إذا تم زيادة الحوكمة لتأكيد ما تخبرنا به المؤسسات، بدلاً من مجرد الثقة في الإجابات من الاستبيان، فيجب وضع نظام تدقيق.
وقال: “سيؤدي هذا حتماً إلى زيادة التكاليف، وهو أمر تعمل العديد من المنظمات بجد لإبقائه عند أدنى مستوى ممكن من أجل الحفاظ على قدرتها التنافسية”.
“في حين أن هذا قد يكون من الأسهل تبريره للأنظمة الحكومية أو العسكرية الحساسة، إلا أنه قد يكون بيعًا صعبًا للموردين التقليديين،” قال. إضافة إلى التحديات، قد يكون من الصعب أو المستحيل تحقيق فرض الحوكمة على الموردين الأجانب للسلع والمواد. هذا ليس تحديًا سهلًا للتعامل معه وسيظل موضوعًا للنقاش لبعض الوقت “.
المصدر: technewsworld
قد يهمك:
