Toimitusketjut uhka yritysten kyberturvalle
Toimitusketjut uhka yritysten kyberturvalle
Lähes kaikki organisaatiot ja yritykset ovat osa toimitusketjua – joko valmistajan, maahantuojan, tukkumyyjän, jälleenmyyjän, ulkopuolisen kirjanpitoyrityksen tms. roolissa. Yritysten ja muiden organisaatioiden riskienhallinta- ja turvallisuuspolitiikoissa otetaan harvoin huomioon muiden toimitusketjuun kuuluvien organisaatioiden vaikutukset sekä toimitusketjuun että organisaation omaan turvallisuuteen.
Verkkohyökkäykset voivat vaikuttaa toimitusketjuun eri osapuolten järjestelmien kautta. Hyökkääjä voi tunkeutua toimitusketjun muiden jäsenten verkkoihin ja järjestelmiin ja päästä käsiksi usean organisaation tietoihin silloin, kun ketjun osapuolten verkot ovat yhteydessä toisiinsa ja käytetään jaettuja järjestelmiä. Esimerkiksi vuonna 2015 suurin osa energia-alalla raportoiduista 46 kyberturvallisuushyökkäyksestä kohdistui apuohjelmien ja toimittajien tietojärjestelmiin.
Tutkimus osoittaa, että monet – etenkin kriittisen infrastruktuurin alueella toimivat – yritykset pyrkivät investoimaan kyberturvallisuuteen liian vähän. Osa verkkohyökkäyksistä ja tunkeutumisista ulkoistetaan muille, koska yritykset eivät vastaa kaikista haavoittuvuuden kustannuksista. Heillä on heikommat kannustimet järjestelmiensä turvaamiseen. Hyökkäys voimalaitosta vastaan ei vahingoita vain aiottua kohdetta; se vahingoittaa myös yhtiön asiakkaita ja niitä, joihin yhtiöllä ei ole suhdetta.
Kyberturvallisuus ja riskienhallinta olisi ulotettava kybertoimitusketjun (CSC – Cyber Supply Chain) ajatteluun, joka mallintaa kyberhyökkäyksiä toimitusketjun ympäristöön. Verkkohyökkäysten mallintaminen CSC-ympäristössä luo tietoisuutta ja ymmärrystä uhista, riskeistä ja haavoittuvuuksista, joita kyberrikolliset voivat hyödyntää. Näiden uhkien mallintaminen ja analysointi voi tarjota turvallisen suojan ja varmistaa liiketoiminnan jatkuvuuden.
Seuraavat tekijät vaikuttavat toimitusketjun uhkiin:
- kybertoimitusketjun uhkaympäristön kehitys
- toimitusketjun sidosryhmien integrointi kyberuhka-malliin
- kyvyttömyys määritellä sarjauhkien vaikutuksia saapuviin ja lähteviin toimitusketjuihin
- kehittyvien uhkien näkymien vaikutukset toimitusketjun organisaatiokontekstiin.
Kybertoimitusketjut käyttävät yhä enemmän pilvipalveluja, eikä järjestelmiä enää käytä vain ketjuyritykset, vaan myös asiakkaat, joilla on jatkuva pääsy toimitusketjun hallintajärjestelmään. Asiakkaat voivat noutaa tuotetietoja ja tehdä tilauksia. Asiakkaat ja yritykset käyttävät tietokoneita ja mobiililaitteita sekä yritysverkoissa että julkisissa WLAN-verkoissa ja heikosti suojatuissa mobiilidataverkoissa. Tämä tekee CSC:n organisaatioista ja verkossa olevista henkilöistä alttiimpia tietouhille, joten ketjuorganisaatioiden on kiinnitettävä erityistä huomiota kyberturvallisuuteen.
Kyberturvallisuutta on ajateltava kokonaisuutena eikä vain yhden yrityksen kannalta. Verkottunut toimintamalli lisää uhkia, joita voi verrata organisaation sisältä tuleviin uhkiin – hyökkääjä on jo päässyt sisään. Organisaatioiden on yhdessä mietittävä yhteinen kyberturva- ja riskienhallintamalli – luotava oma Cyber Supply Chain.
Maailmanlaajuisena toimijana BDO auttaa organisaatiotanne CSC:n luomisessa – oli toimitusketjun jäsenet missä päin maailmaan tahansa.
1 Yeboah-Ofori, A., Islam, S. 2019. Cyber security threat modeling for supply chain organizational environments. Future Internet.
2 Sales, N. A. 2013. Regulating Cyber-Security. Northwestern University Law Review.