为了最大程度地减少这些风险和损失,公司需要意识到来自第三方的网络威胁,并采用新技术来审核供应商和业务合作伙伴。数据泄露会给公司带来巨大的财务损失和声誉损失,这也是为什么公司在选择新供应商时应该认真对待第三方威胁和网络安全问题的原因。
根据 2019 年 Juniper Research 的研究报告:到 2024 年,数据泄露的损失预计将从每年 3 万亿美元增加到 5 万亿美元,这对于依赖第三方服务来保障其核心业务的大型公司尤为重要。另外,Opus 和 Ponemon Institute 于 2018 年进行的一项研究发现:近 60% 的公司经历了与第三方供应商有关的数据泄露事件。
在 2019 年,Quest Diagnostics 宣布其第三方账单收集机构泄露了 1190 万患者的个人信息。最近的一个例子来自数字银行提供商 Dave,该公司在 7 月披露了涉及 750 万用户信息的数据泄露事件。该公司表示,数据泄露是由其前第三方提供商之一造成的。
供应商越多,威胁越多
如今,许多公司开始依赖许多个第三方供应商来开展工作或者制造商品。例如,苹果公司 2019 年就与 200 家与其供应链相关的公司展开合作。
在许多情况下,网络威胁是由供应商的安全漏洞带来的。例如,加密货币钱包应用程序 Agama 由于其第三方 JavaScript 库中的严重漏洞而被黑客入侵。
公司在管理第三方网络威胁方面面临的主要挑战是合作伙伴的安全协议不受公司的直接控制。公司投入资金和技术人员来保护其信息系统免遭数据泄露的侵害,但这通常只对其内部环境有效,而且公司对服务提供商实施的安全管控是有限的。
需要考虑的问题
1.供应商是否具有安全联系人或首席安全官?
如果供应商配备了专业的资源来管理风险、保护关键信息,这起码表明他们以最大的诚意、最认真的态度采取了安全措施。
2. 供应商是否具有行业认证?是否符合 NIST 等行业框架?
尽管行业认证不一定表明供应商的安全控制是有效的,但是确实为供应商对保护其系统和客户的信息的承诺提供了额外的保证。
3. 供应商是否具有成熟的威胁管理和情报计划?
真正重要的是确认供应商的安全控制是有效的,可以通过查看独立的安全审查报告来评估供应商的漏洞管理、安全软件开发流程和威胁管理等方面做的好不好。
4. 供应商允许额外的审计吗?
根据第三方供应商的风险状况,可能需要考虑增加一个条款,提供对第三方系统进行审核以确定其风险和暴露程度的权利。
5. 供应商是否制定了成熟的事件响应计划?
数据保护和隐私保护的相关法规越来越严格,公司有义务在指定的时间范围内披露重大安全事件。披露的责任在于数据所有者和保管者,因此公司需要与受影响的供应商紧密合作,满足时间表的要求避免罚款或违规。
6. 供应商是否遭受了重大网络攻击或者数据泄露?
任何公司都无法在网络攻击中幸免遇难,当公司面临着明显的问题时,最明智的做法是知道问题出在哪里,解决问题防止问题再次发生。
7. 供应商产品是否与数据处理需求保持一致?
公司可能对特定区域的数据有严格的要求或者不同的业务需求,选择供应商时,必须对这些要求达成一致并且持续监控。
8. 供应商的网络安全水平怎么样?
谨慎确定公司在网络上的暴露情况,预测由于暴露造成的潜在破坏的可能性。有许多公司可以为供应商提供打分评价,也可以为供应商进行基准测试。
参考来源:Forbes