공급망 전체에서 사이버 위험을 관리하는 5가지 방법

오늘날에는 제품, 시스템 또는 서비스 제공을 지원하는 제3자 공급업체의 도움 없이 비즈니스를 운영하는 것이 거의 불가능합니다. 외부 파트너와 협력하면 높아진 고객 요구 사항을 충족하기 위한 보다 능률적이고 효율적인 프로세스를 포함하여 많은 이점을 얻을 수 있습니다. 동시에, 새로운 주체는 특히 사이버 보안 영역에서 새로운 위험을 초래할 수 있습니다. 기업이 모여 정보를 공유하면 한 기업의 위험이 전체 체인의 위험이 됩니다.

공급망 사이버 공격이 증가하고 있으며 2021년 1분기 미국에서 42% 증가했습니다. 이러한 유형의 공격은 단일 경로를 통해 조직의 전체 웹에 침투할 수 있는 기회를 제공하기 때문에 사이버 범죄자에게 특히 인기가 있습니다. 타사 공급업체입니다.

다행스럽게도 모든 유형의 위험과 마찬가지로 이러한 위협이 문제를 제기하기 전에 관리할 수 있는 방법이 있습니다. 다음은 공급망에 대한 공격 가능성을 최소화하기 위해 비즈니스에서 취할 수 있는 몇 가지 주요 조치입니다.

위험 평가를 수행합니다. 새로운 공급업체 관계를 맺을 때 사이버 보안과 관련하여 그들이 어떤 위치에 있는지 확인하는 것이 중요합니다. 어떤 통제가 있습니까? 데이터를 잘 보호하기 위해 어떤 프로세스와 정책이 사용됩니까? 공급업체와 모든 종류의 데이터, 특히 민감한 고객 정보를 공유하는 경우 보안이 유지되는지 알고 싶습니다.

공급업체 관계가 전반적으로 얼마나 중요한지 고려하는 것도 좋은 생각입니다. 즉각적인 공급망의 일부입니까, 아니면 임시로 지원합니까? 모든 파트너는 심사를 받아야 하지만 공급망에서 중요한 역할을 하는 파트너는 더 많은 위험을 감수하고 더 많은 주의를 기울여야 합니다.

보안 요구 사항을 설정합니다. 공급업체와의 투명한 관계를 장려하고 명확한 기대치를 설정하려면 공급업체 정책을 작성하는 것이 좋습니다.

이러한 문서를 사용하면 사이버 보안 및 데이터 보호에 대한 섹션을 지정하여 공급업체가 입증할 수 있는 보안 수준을 간략하게 설명할 수 있습니다. 이를 수행하는 가장 쉬운 방법 중 하나는 공급업체에 기존의 사이버 보안 표준 및 인증 집합에 맞게 조정하도록 요청하는 것입니다. 미국에서는 국제적으로 인정받는 ISO 27001과 NIST 프레임워크가 인기를 끌고 있다. 영국에서는 정부의 사이버 보안 표준인 Cyber ​​Essentials를 통해 기업이 5가지 중요한 기술 제어에 맞춰 위험을 80% 줄일 수 있습니다. 이러한 표준을 준수하면 공급업체가 우수한 사이버 보안 태세를 입증할 수 있는 쉬운 방법이 될 수 있습니다.

공급업체의 보안 요구 사항을 만들 때 자신의 비즈니스가 이미 해당 요구 사항을 충족하는지 확인하는 것이 가장 좋습니다. 공급망에 참여함으로써 자신을 공급망의 다른 모든 사람과 연결할 수 있습니다. 자체 보안 태세를 개선하면 전체 체인만 강화됩니다.

사이버 보안 교육을 시행합니다. 인적 오류는 여전히 사이버 공격의 첫 번째 원인입니다. 따라서 해결해야 할 가장 중요한 요소 중 하나입니다. 회사 내에서 사이버 보안 인식 문화를 조성하기 위해 항상 노력해야 하지만 이러한 관행은 공급망 전체에서도 권장되어야 합니다.

공급업체와 리소스를 공유하여 직원에게 사이버 위험에 대해 교육할 수 있도록 하십시오. 기업에 지침을 제공하는 수많은 무료 온라인 실습과 기사가 있습니다.

보안 데이터 전송. 공급망 내의 데이터는 보안 채널을 통해 전송되고 항상 보호되어야 합니다. 해커는 데이터가 한 곳에서 다른 곳으로 이동하는 동안 가로챌 가능성이 가장 높기 때문에 이 프로세스 동안 우수한 보안을 유지하는 것이 더욱 중요합니다. 데이터를 전송하기 전에 암호화하는 것은 이러한 위험을 최소화하는 훌륭한 방법입니다.

또한 기업은 공급망에 존재하는 다양한 종류의 데이터와 그 위치에 대한 완전한 그림을 가지고 있는지 확인해야 합니다. 여기에는 내부 데이터(백업 시스템 포함)와 공급업체가 액세스할 수 있는 데이터가 포함됩니다. 이 정보는 민감도가 다를 수 있습니다. 그 중 일부는 매우 민감할 수 있고 다른 정보는 공개적으로 액세스할 수 있습니다. 데이터를 올바르게 분류하고 레이블을 지정하여 데이터가 잘못된 사람에게 넘어가는 것을 방지할 수 있으므로 가장 중요한 정보가 있는 위치를 알 수 있습니다.

당신도 누군가의 공급자라는 것을 기억하십시오. 종종 해커는 사이버 방어가 최소화되거나 존재하지 않을 것으로 예상하고 나머지 공급망에 액세스하기 위해 중소기업을 목표로 삼습니다. 우리는 2013년에 언론을 강타한 최초의 주요 공급망 공격 중 하나에서 이를 목격했습니다. Target과 협력하는 제3자 계약자가 손상되어 해커가 소매업체의 내부 네트워크에서 수백만 개의 고객 신용 카드 세부 정보를 훔칠 수 있었습니다.

소규모 기업은 공급업체의 보안을 고려해야 할 뿐만 아니라 높은 수준의 사이버 보안을 유지하여 더 큰 파트너에게 자신이 보안 위험 요소가 아님을 확신시켜야 합니다. 특히 공공 부문의 많은 회사는 이제 모든 공급업체와 계약을 체결하기 전에 특정 보안 표준을 충족하도록 요구하고 있습니다.

공급망 내에서 사이버 위협을 관리하는 것이 어려운 작업일 필요는 없지만 자신의 위험에 대한 책임을 지고 사이버 보안에 대한 일관된 표준을 유지하는 것이 중요합니다. 모든 파트너의 보안 프로세스, 정책 및 솔루션을 이해하는 것은 모든 비즈니스에 가장 큰 이익입니다. 이러한 단계는 전체 공급망의 위험을 줄일 뿐만 아니라 고객, 파트너 및 이해 관계자에게 그들의 비밀이 귀하에게 안전하다는 것을 보여줍니다.

Clive Madders는 의 최고 기술 책임자입니다. 사이버 기술 보안 .