مدیریت خطرات سایبری در زنجیره‌های تأمین جهانی

عنوان اصلی مقاله:

Managing Cyber Risks In Global Supply Chains

نویسندگان:

Dan Pellathy

Mike Burnette

برگردان: ملیکا موسوی

پژوهشگر موسسه مدیریت زنجیره تأمین آمادگران

به سفارش: موسسه مدیریت زنجیره تأمین آمادگران

تاریخ انتشار:

سال ۲۰۲۰ میلادی

در طول ۱۰ سال گذشته، زنجیره‌های تأمین در تلاش برای کاهش هزینه‌ها برای پاسخ به بازارهای متغیر مشتری، به‌طور فزاینده‌ای به دیجیتالی‌سازی، اتوماسیون و تلفیق فناوری روی آورده‌اند. ضرورت رقابتی اتخاذ این فناوری‌ها غیرقابل‌انکار است اما خطراتی نیز وجود دارد. پیشرفت‌های فنی، زنجیره‌های تأمین را در معرض خطرات سایبری قرار می‌دهند که می‌تواند تأثیر عمده‌ای بر همه‌چیز، از عملیات گرفته تا درک برند و اعتماد مشتری داشته باشد. در تلاش برای پاسخگویی به چالش حمایت از اهداف سود، هنگام انتقال به بازارهای جدید، بیشتر رهبران تجارت و زنجیره تأمین این خطرات را نادیده گرفته‌اند.

اکنون امنیت سایبری یکی از مهم‌ترین چالش‌های پیش روی رهبران زنجیره تأمین و تجارت است. اغلب اوقات، رهبران این نگرش را دارند که فناوری اطلاعات، سایبری را مدیریت می‌کند و تا زمانی که سیستم‌های تجاری و زنجیره تأمین در حال اجرا هستند، به نظر همه‌چیز به‌خوبی پیش می‌رود. اما با این‌وجود رهبران باید آموزش را شروع کرده و امنیت سایبری را جدی بگیرند.

مبانی امنیت سایبری زنجیره تأمین

داده‌ها حاکی از آن است که بیش از ۶۰ درصد مسائل مربوط به امنیت سایبری در ارائه‌دهندگان لجستیک طرف سوم در زنجیره‌های تأمین رخ می‌دهد. یک رویکرد شرکت محور در زمینه امنیت سایبری به‌طور سیستماتیک عملیات مهم و داده‌های ارزشمند را در معرض حمله قرار می‌دهد و در واقع می‌تواند آسیب‌پذیری یک سازمان را افزایش دهد.

به همین منظور، تحقیقات کاربردی جدید از دانشگاه تنسی، موسسه جهانی زنجیره تأمین ناکسویل (GSCI) چهار اصل اساسی را برای مقابله با امنیت سایبری در زنجیره تأمین ارائه می‌دهد:

• درک ماهیت خطرات اینترنتی در زنجیره تأمین
• توسعه فرهنگ مدیریت ریسک سایبری
• ادغام با شرکای اصلی برای مدیریت خطرات سایبری در زنجیره تأمین
• تصمیم‌گیری در مورد کجا (و چه مقدار) سرمایه‌گذاری برای محافظت از زنجیره تأمین

به‌منظور شناسایی اصول امنیت سایبری با ۳۰ نفر از رهبران شرکت‌ها و کارشناسان امنیت سایبری مصاحبه‌ای صورت گرفته است تا این اصول شناسایی‌شده و نقطه شروع ساخت زنجیره تأمین سایبری امن در اختیار مدیران زنجیره تأمین قرار گیرد.

استراتژی معیار زنجیره تأمین سایبری

شرکت‌هایی که با آن‌ها مصاحبه کرده‌ایم، امنیت سایبری را نگرانی تجاری مداوم خود می‌دانند که مستلزم مشارکت در سراسر زنجیره تأمین آن‌ها است. این شرکت‌ها دارای سیستم‌های استوار برای ارزیابی و بهبود توانایی‌های امنیت سایبری تأمین‌کنندگان، تولیدکنندگان قراردادی و ارائه‌دهندگان لجستیک طرف سوم هستند. آن‌ها بر اقدامات تنبیهی مبتنی بر انطباق با پروتکل‌های سنگین تأکید نمی‌کنند. در عوض، آن‌ها یک رویکرد توسعه را دنبال می‌کنند که بر افزایش بلوغ برنامه‌های مدیریت ریسک سایبری شرکا تأکید دارد.

خطرات سایبری در رابط‌های زنجیره تأمین افزایش می‌یابد. شرکت‌های معیار با شرکای خارجی همکاری می‌کنند تا نقش‌ها و مسئولیت‌های مشخصی را در کل سیستم‌هایی که تأمین‌کنندگان، مشتریان، عملکردهای داخلی زنجیره تأمین و سایر رابط‌های تجاری را به هم پیوند می‌دهند، تعیین کنند. وضوح مالکیت، مسئولیت‌پذیری در حفظ امنیت سایبری را موجب می‌شود و مشخص می‌کند که به چه کسی و چرا و چگونه دسترسی به سیستم داده شده است. این اقدامات در رأس فرهنگ مدیریت ریسک سایبری است که از بالا پشتیبانی می‌شود.

به‌طور خلاصه، شرکت‌های معیار دریافته‌اند که امنیت سایبری باید کار کل سازمان با همکاری شرکای زنجیره تأمین باشد. این نوع استراتژی سراسری سایبری اطمینان می‌دهد که گروه‌های مختلف داخلی و خارجی برای حل مشکلات و تحقق اهداف مشترک با یکدیگر همکاری می‌کنند. علاوه بر این به‌طورکلی، با اطمینان از قرار دادن منابع برای محافظت از آسیب‌پذیرترین نقاط زنجیره تأمین، از سرمایه‌گذاری در امنیت سایبری محافظت می‌کند.

امنیت سایبری فقط به‌اندازه ضعیف‌ترین حلقه در زنجیره تأمین قوی است. خوشبختانه، متخصصان زنجیره تأمین بسیاری از توانایی‌های لازم برای رویکرد سراسری امنیت سایبری، ازجمله تعیین هدف، برنامه‌ریزی اقدام، حل مسئله و تصمیم‌گیری مشترک را دارند. آن‌ها اکنون باید این توانایی‌ها را با توسعه و اجرای استراتژی امنیت سایبری که از اهداف ایجادشده زنجیره تأمین آن‌ها پشتیبانی می‌کند، عملی سازند.

خطر سایبری چیست؟

خطر سایبری به فعالیتی گفته می‌شود که در یک فضای مجازی رخ می‌دهد و احتمال از بین رفتن یا آسیب رساندن به اطلاعات، فناوری و یا عملیات را دارد. لازم به ذکر است که هر محیط فضای مجازی هم فناوری و هم افراد استفاده‌کننده از آن را شامل می‌شود. خطرات سایبری در صورت نقص عملکرد هر یک از اجزای سازنده به وجود می‌آیند. مهاجمان سایبری غالباً منبع هستند اما شامل سوء مدیریت اطلاعات و فناوری‌ها نیز می‌شود.

منابع ریسک سایبری زنجیره تأمین

اکثر مدیران خطرات سایبری ناشی از حملات خارجی مانند بدافزار، کلاه‌برداری، انکار سرویس، باج افزار و فیشینگ را درک می‌کنند. منابع مختلف خطرات سایبری ناشی از سوء مدیریت شدیدتر هستند. گفتگوهای ما با ۳۰ شرکت و کارشناس امنیت سایبری نشان می‌دهد که سازمان‌ها می‌توانند با طرح سه سؤال ساده، منابع ریسک سایبری زنجیره تأمین خود را شناسایی کنند: چه؟ چه کسی؟ چگونه؟

چه کسی ریسک را معرفی می‌کند؟ افراد در سراسر زنجیره تأمین معمولاً ریسک را بدون سوءقصد ایجاد می‌کنند، مانند افرادی که به‌طور تصادفی داده‌های حساس را به اشتراک می‌گذارند. همچنین رایانش ابری خطرات جدیدی را در رابطه با دسترسی کاربر، انطباق با مقررات، مکان و در دسترس بودن داده‌ها ایجاد می‌کند. درواقع هیچ‌یک از این خطرات از بازیگران بد ناشی نمی‌شود.

بااین‌حال مهاجمان سایبری در آنجا حضور دارند و شرکت‌ها باید بدانند که با چه نوع مهاجمانی روبرو هستند. مهاجمان هدف و مهاجمان فرصت‌طلب انگیزه‌های متمایزی دارند که آن‌ها را به استفاده از تاکتیک‌های مختلف برای رسیدن به اهدافشان سوق می‌دهد. تفاوت بین این مهاجمان و میزان قرار گرفتن در معرض هر یک، پیامدهای قابل‌توجهی برای سرمایه‌گذاری در امنیت سایبری زنجیره تأمین دارد.

چگونه اطلاعات می‌توانند خارج شوند؟ بررسی چگونگی ورود مهاجمان یا چگونگی کسب اطلاعات می‌تواند منابع ریسک سایبری را نیز معلوم کند. بیشتر سازمان‌ها بر امنیت سیستم‌های اطلاعاتی مدیریت خود متمرکز هستند، اما از لینک‌های ضعیف یا دسترسی آسان شرکای زنجیره تأمین خود چشم‌پوشی می‌کنند. شرکای زنجیره تأمین (تأمین‌کنندگان، توزیع‌کنندگان، خرده‌فروشان) این امکان را دارند که طیف گسترده‌ای از اطلاعات مشتری و محصول را افشا کنند. به‌ عنوان‌ مثال، ما دریافته‌ایم که امنیت سایبری به‌ویژه امنیت تولیدکنندگانی که از فناوری‌های نوظهور استفاده می‌کنند، جایی که هنوز نقاط ضعف طراحی کاملاً مشخص نشده و یا کنترل تولید اعمال نشده است، یک چالش است.

ایجاد نقشه‌ای دقیق از سراسر زنجیره تأمین، به شرکت‌ها این امکان را می‌دهد تا دید جامعی نسبت به آسیب‌پذیری‌های مهم ایجاد کنند که هم مؤلفه‌های تکنولوژیکی و هم انسانی محیط سایبری را در نظر می‌گیرد. با افزایش خطرات سایبری در رابط‌های زنجیره تأمین، شرکت‌ها باید با شرکای خارجی کار کنند تا نقش‌ها و مسئولیت‌های مشخصی را در کل سیستم‌ها تعیین کرده که تأمین‌کنندگان، مشتریان، عملکردهای داخلی زنجیره تأمین و سایر رابط‌های تجاری را به هم پیوند می‌دهد.

چه چیزی در معرض خطر است؟ ما دریافتیم که مراکز امنیت سایبری زنجیره تأمین چهار نوع فرآیند مدیریتی اصلی را در برمی‌گیرد:

• اطلاعات در موردتقاضا
• جریان فیزیکی کالا
• جریان‌های مالی
• مدیریت سفارش

در این فرایندهای اصلی، فرایندهای فرعی عملکردی خاص اغلب به سیستم‌های آسیب‌پذیر در برابر خطرات اینترنتی متکی هستند. تحقیقات ما نشان می‌دهد که دستگاه‌ها و شبکه‌هایی که برای مدیریت این فرآیندها استفاده می‌شوند، به‌طور ویژه‌ای در معرض حملات سایبری مانند نرم‌افزار خرابکاری، شکستن رمز عبور، حملات جعل و هک مستقیم قرار دارند.

دارایی‌های فیزیکی در سراسر زنجیره تأمین نیز می‌توانند در معرض خطر باشند. به ‌عنوان ‌مثال، مهاجمان ممکن است از طریق یک فناوری یا مؤلفه‌ی نرم‌افزاری به محصولات دسترسی پیدا کنند. سامانه بازشناسی با امواج رادیویی (RFID) محافظت نشده نیز می‌توانند در برابر استراق سمع، ردیابی غیرمجاز، درج برچسب‌ها و خواننده‌های تقلبی و سایر انواع دست‌کاری آسیب‌پذیر باشند. برون‌سپاری اجزای فیزیکی و دیجیتالی محیط سایبری نیز می‌تواند منبع قابل‌توجهی از خطر باشد.

پس از شناسایی خطرات سایبری زنجیره تأمین خود، مرحله بعدی کمی‌سازی احتمالات و ضررهای احتمالی آن‌ها است. تکنیک‌های آماری مانند شبیه‌سازی مونت‌کارلو می‌تواند به ایجاد طیف وسیعی از ضررهای مورد انتظار در بازه زمانی مشخص کمک کند و به شما کمک کند تا با آگاهی از امنیت سایبری سرمایه‌گذاری کنید. این فرایند باید با مشارکت کامل شرکای زنجیره تأمین انجام شود و مدیران زنجیره تأمین باید به یاد داشته باشند که مدیریت ریسک سایبری هرگز ایستا نیست و یک روند مداوم و مبتنی بر ماهیت پویای محیط فضای مجازی است.

منابع:

1. https://www.scmr.com/article/managing_cyber_risks_in_global_supply_chains_the_four_fundamentals
2. https://www.scmr.com/article/managing_cyber_risks_in_global_supply_chains_the_four_fundamentals1