بهبود امنیت سایبری زنجیره تأمین

امنیت سایبری زنجیره تأمین به‌موازات افزایش پیچیدگی آن، در معرض تهدیدات فزاینده‌ای قرار می‌گیرد. با رشد شرکت‌ها، شبکه گسترده‌تری از افراد و داده‌ها شکل می‌گیرد و این گسترش به‌طور بالقوه، زمینه‌های آسیب‌پذیری را افزایش می‌دهد. همان‌طور که از قدیم هم گفته‌اند، هر که بامش بیش، برفش بیشتر!

بخش مهمی از مسئله امنیت سایبری زنجیره تأمین این است که فروشندگان، تأمین‌کنندگان، مدیران شرکت‌ها و به‌طورکلی، همه افرادی که به‌عنوان یک حلقه از زنجیره، ایفای نقش می‌کنند، می‌توانند منشأ بروز یک تهدید باشند و آسیب‌پذیری آن‌ها در مقابل تهدید، معمولاً کل زنجیره تأمین را با خطر مواجه می‌کند. به همین دلیل شرکت‌ها باید به‌موازات رشد دنیای دیجیتال، هر یک به سهم خود، در جستجوی راه‌هایی برای ارتقای امنیت باشند.

اهمیت مدیریت امنیت

بسیاری از زنجیره‌های تأمین به دلیل سهل‌انگاری اشخاص ثالث در معرض خطر قرار می‌گیرند که این امر می‌تواند پیامدهای جدی و ناخوشایندی برای آن‌ها در پی داشته باشد. زیان‌های مالیِ ناشی از به خطر افتادن امنیت سایبری زنجیره تأمین، بدیهی‌ترین و فوری‌ترین پیامدهای این اتفاق ناگوار هستند. بد نیست بدانید که هک شدن یک شرکت در کشور آمریکا، به‌طور متوسط 36 هزار دلار ضرر مالی هزینه به آن شرکت وارد می‌کند. اما اگر زیان مالی، چندبرابر این رقم هم باشد، باز هم در مقایسه با زیان‌های معنوی و خدشه‌ای که به اعتبار یک شرکت وارد می‌شود، چندان زیاد نیست. اگر مشتریان یا فروشندگان یک شرکت به دلیل ضعف عملکرد آن در مدیریت امنیت، در معرض تهدیدهای سایبری قرار بگیرند، احتمالاً نام شرکت را از فهرست شرکای تجاری‌شان خط می‌زنند و دیگر با آن کار نخواهند کرد.

در عصر حاضر، فناوری به بخش لاینفکی از زنجیره‌های تأمین تبدیل شده است. حالا در هر شبکه، حداقل چند دستگاه الکترونیکی وجود دارد که با یکدیگر در ارتباط هستند و هرکدام می‌توانند یک پاشنه آشیل امنیتی باشند. فناوری همان‌قدر که به بهبود کارایی کمک می‌کند، بحث امنیت سایبری زنجیره تأمین را به یک دغدغه و نگرانی بزرگ تبدیل کرده است. باتوجه‌به وفور دستگاه‌های موبایل و مبتنی بر اینترنت اشیا، حالا شرکت‌ها به‌طور مستمر، با مسئله تأمین امنیت شبکه‌های رو به گسترش، درگیر هستند و می‌دانیم که با گسترش شبکه، تعداد نقاط پایانی یا همان End Point ها افزایش می‌یابد و همین مسئله، حفظ امنیت را دشوارتر می‌کند.

چگونه از خطرات زنجیره تأمین دوری کنیم؟

برای تأمین امنیت سایبری زنجیره تأمین نمی‌توان تنها روی قابلیت فناوری حساب کرد بلکه باید به‌موازات استفاده از فناوری، فرایندها و رویکردهای مدیریتی خاصی را مدنظر قرار داد که ما در اینجا، به مهم‌ترین این موارد اشاره می‌کنیم.

1. ارزیابی کامل چرخه حیات برای مقابله با تهدیدهای سایبری

ارزیابی چرخه حیات برای مقابله با تهدیدها و ارتقای امنیت سایبری زنجیره تأمین، مستلزم درنظرگرفتن چهار فاز پیشگیری، شناسایی، مهار و بازیابی است و همه این موارد، به یک اندازه اهمیت دارند. صدالبته که پیشگیری، همواره بر اقدامات دیگر اولویت دارد اما تمهیدات پیشگیرانه شما نباید مانع از عاقبت‌اندیشی‌تان شوند.

چه تضمینی وجود دارد که همیشه قادر به پیشگیری از یک تهدید باشید؟ اینکه تمام تلاشتان را برای پیشگیری انجام دهید، خیلی خوب است اما باید بدانید که اکثر مشاغل، حداقل یک‌بار در شرایطی قرار می‌گیرند که باید با یک مسئله امنیتی، کاملاً درگیر شوند. وقتی یک عامل تهدید بتواند به شبکه‌تان نفوذ کند، باید قادر به شناسایی و کشف آن باشید و پس از شناسایی، آن تهدید را مهار کنید. بازیابی اطلاعات ازدست‌رفته، مرحله بسیار مهم دیگری در ارتباط با امنیت سایبری است که باید برای آن هم برنامه ویژه‌ای داشته باشید. یک شرکت، بدون برنامه‌ریزی کامل برای همه فازهای تأمین امنیت سایبری، نمی‌تواند بعد از مواجهه با یک تهدید، دوباره روی پای خودش بایستد.

2. بررسی عملکرد تأمین‌کنندگان و فروشندگان

امنیت سایبری زنجیره تأمین، موضوعی در ارتباط با کل یک زنجیره است. گاهی منشأ بسیاری از گسست‌های امنیتی، تأمین‌کنندگان یا فروشندگانی هستند که با شرکت شما همکاری می‌کنند؛ بنابراین فقط با افراد و مجموعه‌های تأییدشده و معتبر همکاری کنید و وضعیت امنیتی شرکای تجاری‌تان را پیوسته زیر ذره‌بین قرار دهید. در کارکردن با تأمین‌کنندگان و فروشندگان جدید یا کوچک‌تر، بسیار محتاط باشید و قراردادهایتان را با شرکای تجاری، با هدف ارتقای امنیت سایبری زنجیره تأمین، دائماً به‌روزرسانی کنید.

3. آموزش کارکنان

کارکنان شرکت شما، بی‌آنکه بدانند و بخواهند، بزرگ‌ترین تهدید برای امنیت سایبری زنجیره تأمین هستند. البته این به معنای مخرب بودن آن‌ها نیست! فقط باید بپذیریم که بسیاری از رخنه‌های امنیتی، در اثر خطا یا سهل‌انگاری یکی از کارکنان، ایجاد می‌شوند. به همین علت است که روی آموزش کارکنان، تأکید بسیار زیادی داریم. آن‌ها باید با قوانین و خط‌مشی‌های امنیتی شرکت کاملاً آشنا شوند و بایدونبایدها را یاد بگیرند.

شرکتی که کارکنانش، رمزهای عبور حساس را روی یک‌تکه کاغذ می‌نویسند و با چسباندن کاغذ روی میز یا نمایشگر، آن‌ها را در معرض دید عموم قرار می‌دهند، نباید از نفوذ یک هکر فرصت‌طلب به شبکه‌اش تعجب کند! مجموعه‌ای که تدوین خط‌مشی‌های امنیتی و آموزش کارکنان را جدی نگیرد، محکوم است که قربانی تهدیدهای سایبری باشد. همین‌قدر تلخ اما کاملاً واقعی!

4. بررسی منظم سطح امنیت

شما باید هرسال یا هر شش ماه یک‌بار، سطح امنیت سایبری شبکه‌هایتان را بررسی کنید تا در صورت مشاهده آسیب‌پذیری بالقوه، بتوانید سریعاً برای جلوگیری از ایجاد یک بحران امنیتی، دست‌به‌کار شوید.

5. حفظ و ارتقای امنیت سیستم‌ها

امنیت سیستم‌های شرکت شما به اندازه امنیت سیستم‌های اشخاص ثالث، مهم است. نصب و به‌روزرسانی آنتی‌ویروس مطمئن، استفاده از فایروال قدرتمند و همین‌طور به‌روزرسانی منظم برنامه‌ها و سخت‌افزارهای سیستم‌ها، از مهم‌ترین اقداماتی هستند که باید در راستای ارتقای امنیت سایبری زنجیره تأمین انجام دهید. ضمناً هرگز اجازه ندهید که کارکنان، برنامه‌های شخصی خودشان را روی سیستم‌های شرکت نصب کنند. چنین کاری، می‌تواند به‌راحتی، یک دریچه نفوذ جذاب برای مجرمان سایبری ایجاد کند.

6. داشتن یک دستورالعمل رسمی

کارکنان شرکت باید بدانند که در صورت مواجهه با مسائل امنیتی، دقیقاً چه کاری باید انجام دهند و از آن مهم‌تر، با چه فرد یا افرادی تماس بگیرند؟ وقتی کارکنان افراد مسئول و ذی‌صلاح را نشناسند و ندانند چه کسانی می‌توانند به آن‌ها کمک کنند، مدیریت موقعیت برایشان به‌مراتب دشوارتر می‌شود و هر اقدام آن‌ها می‌تواند، شرایط را بحرانی‌تر کند.

بنابراین یک دستورالعمل رسمی با محوریت موضوع امنیت سایبری تدوین کنید و حتی‌الامکان، هیچ سؤالی را در آن بی‌پاسخ نگذارید. این دستورالعمل‌ها باید بین همه کارکنان توزیع شود تا آن‌ها بتوانند در مواجهه با شرایط دشوار، واکنش مؤثری از خود نشان دهند.

سخن آخر

رعایت هم‌زمان نکات فوق، می‌تواند گامی بلند در راستای ارتقای امنیت سایبری زنجیره تأمین شرکت شما باشد. فراموش نکنید که بهبود امنیت، نه رویدادی یک‌باره، بلکه یک فرایند مستمر است که همواره باید آن را زیر نظر داشته باشید.

امنیت سایبری زنجیره تأمین، همگام با افزایش حلقه‌های آن و پیشرفت فناوری، روزبه‌روز اهمیت بیشتری پیدا می‌کند و اگر می‌خواهید قربانی تهدیدهای امنیتی نباشید، لازم است ضمن افزایش آگاهی‌تان در این حوزه و توجه به هر چهار فاز چرخه حیات مقابله با تهدید، اتخاذ سازوکارهای پیشگیرانه را در دستور کار قرار دهید.