Tehokas tapa hallita kolmannen osapuolen toimittajien haavoittuvuuksia on toteuttaa tietoturvatietoisuuskoulutus kolmannen osapuolen toimittajien kanssa.
Toimittajien ekosysteemi on olennainen osa monia organisaatioita, ja se tukee menestyvää liiketoimintaa. Tämä myyjien välinen läheinen ja usein monimutkainen suhde on johtanut siihen, että hakkerit käyttävät hyväkseen vikoja. Kolmannen osapuolen toimittajien tietoturvatietoisuuskoulutus on erittäin tärkeää.
Kolmansien osapuolten haavoittuvuuksien laajuus kartoitettiin Opinion Mattersin vuonna 2020 tekemässä tutkimuksessa: tutkimuksessa selvitettiin kolmansien osapuolten ekosysteemien turvallisuuskysymyksiä tietohallintojohtajien, CISO:iden ja hankintajohtajien kanssa. Yksi raportin huolestuttavimmista tuloksista oli, että noin 82 prosenttia brittiläisistä organisaatioista oli kärsinyt tietoturvaloukkauksesta, joka oli peräisin laajemmasta toimittajien ekosysteemistä. Tutkimuksessa todettiin myös, että Yhdistyneessä kuningaskunnassa on huonoin näkyvyys toimitusketjun tietoturva-aukkoihin.
Kolmansien osapuolten käytön turvallisuusvaikutusten hallinta
Kolmannen osapuolen toimittajien tietoturvatietoisuuskoulutus on kokonaisvaltainen prosessi, johon kuuluu monia liikkuvia osia. Näiden järjestelmien monimutkaisuuden vuoksi sekä tahaton tietojen altistuminen että toimitusketjuun kohdistuva kyberturvallisuuden vaarantaminen johtavat vakaviin turvallisuusuhkiin ja lisääntyneisiin yritysriskeihin.
Yritykset, jotka käyttävät alihankkijoita ja muita kolmansia osapuolia, ovat tyypillisesti vastuussa verkkohyökkäyksen tuloksista, vaikka vika olisikin kolmannessa osapuolessa. ISO27001:n ja PCI DSS:n (Payment Card Industry Data Security Standard) kaltaisissa säädöksissä on vaatimuksia, joiden mukaan kolmannen osapuolen toimittajiin liittyviä tietoriskejä on hallittava.
ENISAn äskettäisessä tutkimuksessa todettiin, että 58 prosentissa hyökkäyksistä keskitytään pääsemään käsiksi tietoihin ja 62 prosentissa hyökkäyksistä pyritään manipuloimaan asiakkaiden luottamusta toimitusketjuun. ENISAn raportissa todetaan seuraavaa:
"Vahva tietoturvasuojaus ei enää riitä organisaatioille, kun hyökkääjät ovat jo siirtäneet huomionsa toimittajiin."
Raportissa korostettiin myös, että vaaratilanteiden raportointi on puutteellista, mikä vaikuttaa haavoittuvuuksien näkyvyyteen ketjussa.
Koska toimitusketjut ovat vastuussa niin monista verkkohyökkäyksistä, on elintärkeää keskittyä verkkoturvallisuuden inhimilliseen puoleen varmistamalla, että kaikki kolmannet osapuolet ovat täysin tietoisia tietoturvaan liittyvistä haasteista. Tietoturvauhkien inhimilliseen puoleen voidaan puuttua tietoturvatietoisuuskoulutuksen avulla. Mutta miten organisaatio hallitsee tietoturvatietoisuuskoulutuksen kolmansien osapuolien kanssa?
Tärkeitä kysymyksiä turvallisuustietoisuuskoulutuksen hallinnoinnissa kolmansien osapuolten toimittajien kanssa
Toimitusketjun tietoturva-aukkojen hallinta edellyttää koko ketjun työntekijöiden koulutusta. Kolmannen osapuolen toimittajien ja työntekijöiden tietoturvatietoisuuskoulutuksen hallintaan liittyy useita avainkysymyksiä:
Onko kolmannella osapuolella käytössä tietoturvatietoisuuskoulutus?
Selvitä, onko toimittajallasi jo käytössä tietoturvatietoisuuskoulutuspaketti? Kannattaa kuitenkin muistaa, että kaikki turvallisuustietoisuuspaketit eivät ole samanlaisia. Koulutuksen tason on vastattava yrityksesi odotuksia. Tarkista, että koulutusta järjestetään säännöllisin väliajoin. Huono koulutuspaketti, jossa ei käytetä interaktiivista ja mukaansatempaavaa koulutusmateriaalia, ei välttämättä muuta työntekijöiden huonoa turvallisuuskäyttäytymistä.
Käyttääkö toimittaja Phishing-simulaatioita ja muuta Phishing-tietoisuutta lisäävää koulutusta?
Thalesin vuonna 2021 tekemässä tutkimuksessa tietojenkalastelu sijoittui kolmanneksi kymmenen tärkeimmän tietoturvauhan joukossa. Haittaohjelmat ja lunnasohjelmat, jotka usein käynnistetään tietojenkalastelulla, olivat sijoilla 1 ja 2.
Phishing-simulaatiot vievät työntekijän huolellisesti määritettyjen automaattisten phishing-simulaatioharjoitusten läpi. Ajan mittaan tämä lisää henkilöstön luottamusta siihen, että he tietävät, miten huomaavat phishingin merkit ja miten uhasta ilmoitetaan. Tarkista toimittajaltasi, käyttävätkö he phishing-simulaatioita, ja jos eivät käytä, auta heitä kehittämään ohjelma, jossa simuloidaan tyypillisiä phishing-huijauksia, jotka vaikuttavat alaanne.
Arvioi olemassa oleva tietoturvatietoisuuden koulutuskampanja kolmannen osapuolen toimittajien kanssa.
Kun olet varmistanut, että toimittajalla on tietoturvatietoisuuskoulutusohjelma, voit arvioida sen tehokkuutta tarkistamalla:
- Asiakirjatodisteet koulutuksesta, esim. työntekijöiden osallistuminen koulutustilaisuuksiin, koulutettavien esittämien kysymysten tyypit jne.
- Koulutuksen tehokkuuden mittarit, esim. kuinka moni työntekijä pystyi tunnistamaan phishing-viestin ja ilmoittamaan siitä?
Mittarit auttavat tekemään ohjelmaan kohdennettuja muutoksia, jotka johtavat entistä parempiin koulutustuloksiin.
Entä jos kolmannen osapuolen toimittaja ei käytä tietoturvatietoisuuskoulutusta?
On yhä tärkeämpää puuttua tietoverkkoriskin inhimilliseen puoleen. Eräässä ENISAn raportissa todettiin, että 95 prosentissa phishing-sähköpostiviesteistä tarvitaan ihmisen toimia haittaohjelmatartunnan käynnistämiseksi. Verizon Data Breach Investigations Report, 2021 -raportin mukaan 22 prosenttia tietoturvaloukkauksista liittyy sisäpiiriin.
Toimittajien henkilökunnan on oltava koulutettu turvallisuustietoisuuden osalta yhtä tarkkaan kuin oman yrityksesi henkilökunta. Tämän hallitsemiseksi yrityksesi ja toimittajasi välisessä palvelutasosopimuksessa (SLA) on otettava huomioon odotettu koulutustaso. Tässä oikeudellisessa sopimuksessa olisi edellytettävä, että turvallisuuskoulutusohjelman yksityiskohdat hyväksytään omien standardienne mukaisesti. Kun käytössä on SLA-sopimus, joka sisältää lausekkeen turvallisuustietoisuuden tarjoamisesta, se osoittaa, että toimittaja on sitoutunut sekä omaan että omaan turvallisuuteenne.
Hyvät kolmannen osapuolen toimittajat takaavat kilpailuedun, mutta tietoturvaheikkoudet voivat tehdä hyvästä toimittajasta rasitteen.
Tietoverkkorikolliset etsivät ketjun heikointa lenkkiä, toimittajaa ja hänen henkilöstöään. Varmistaaksesi, että näitä ketjun haarniskan aukkoja lievennetään, varmista, että kolmannen osapuolen toimittajien kanssa toteutettu tietoturvatietoisuuskoulutus on huolellisesti ohjattu vastaamaan odotuksiasi ja standardejasi.
