การศึกษาของแคสเปอร์สกี้เปิดเผยว่า บริษัทจำนวนมากกว่าสองในสามยินดีที่จะลงทุนด้านความปลอดภัยของผู้รับเหมาและซัพพลายเออร์เพื่อรับประกันความปลอดภัยจากภัยคุกคามทางไซเบอร์ ในขณะที่บริษัทอีกหนึ่งในสี่ได้ดำเนินการดังกล่าวอยู่แล้ว การเปลี่ยนแปลงนี้บ่งชี้ว่า ปัจจุบันธุรกิจต่างๆ พิจารณาผู้รับเหมาเป็นส่วนหนึ่งของระบบนิเวศด้านความปลอดภัยที่เชื่อมโยงกัน
การโจมตีซัพพลายเชนที่เพิ่มขึ้นโจมตีบริษัทจำนวนหนึ่งในสาม และยังได้โจมตีความสัมพันธ์ทางธุรกิจที่มีความเชื่อถือต่อกันทั่วโลกจำนวนหนึ่งในสี่ในช่วงปีที่ผ่านมา องค์กรธุรกิจต่างๆ จึงทบทวนแนวทางด้านความปลอดภัยภายในของตน โดยตระหนักว่าความเสี่ยงทางไซเบอร์ของตนนั้นขึ้นอยู่กับสถานะความปลอดภัยของผู้รับเหมาหรือพันธมิตรใดๆ ที่สามารถเข้าถึงโครงสร้างพื้นฐานและระบบของตน และพร้อมที่จะดำเนินการตามนั้น
จากผลสำรวจพบว่าผู้ตอบแบบสอบถาม 69% กำลังพิจารณาลงทุนด้านความปลอดภัยของผู้รับเหมาเพื่อเสริมสร้างความยืดหยุ่นทางไซเบอร์ของตนเอง ความพร้อมนี้มีอัตราสูงเป็นพิเศษในอินเดีย (83%) อินโดนีเซีย (80%) รัสเซีย (80%) และบราซิล (76%) ที่น่าสังเกตคือ องค์กรในอินโดนีเซีย บราซิล และรัสเซียไว้วางใจในผู้รับเหมามากกว่าองค์กรในประเทศอื่นๆ ซึ่งเห็นได้จากจำนวนผู้รับเหมาที่มีสิทธิ์เข้าถึงระบบของบริษัทสูงกว่าค่าเฉลี่ย
รายงานนี้ยังระบุว่า ธุรกิจจำนวนถึง 25% เริ่มแบ่งปันค่าใช้จ่ายด้านความปลอดภัยกับผู้รับเหมาแล้ว โดยเปลี่ยนจากความตั้งใจไปสู่การลงมือปฏิบัติ อัตราการนำไปใช้สูงขึ้นในฮ่องกงและไต้หวัน (33%) สเปน (33%) ตุรกี (31%) และเวียดนาม (31%)
เซอร์เกย์ โซลดาตอฟ หัวหน้าศูนย์ปฏิบัติการด้านความปลอดภัย แคสเปอร์สกี้ กล่าวว่า "ปัจจุบันธุรกิจต่างๆ ตระหนักว่า ความปลอดภัยไม่สามารถสิ้นสุดได้แค่ภายในองค์กรของตนเอง แต่ต้องขยายไปทั่วทั้งระบบนิเวศ บริษัทขนาดเล็กมักขาดความสามารถด้านความปลอดภัยขององค์กรขนาดใหญ่ที่ตนให้บริการ ทำให้เกิดความเสี่ยงเพิ่มเติมแก่องค์กรเหล่านั้น การแบ่งปันทรัพยากรและความเชี่ยวชาญ บริษัทขนาดใหญ่สามารถลดช่องว่างนี้ เสริมสร้างจุดอ่อนตลอดห่วงโซ่การพึ่งพา และกลายเป็นตัวขับเคลื่อนสำคัญของความยืดหยุ่นทางไซเบอร์ระดับโลก"
เพื่อลดความเสี่ยงในซัพพลายเชน แคสเปอร์สกี้แนะนำให้บริษัทต่างๆ เสริมสร้างความปลอดภัยผ่านมาตรการภายในองค์กร ซึ่งรวมถึงการประเมินผู้ให้บริการซอฟต์แวร์อย่างเข้มงวดและอิงหลักฐาน โดยการประเมินแนวปฏิบัติด้านความปลอดภัยของผู้จำหน่าย การตรวจสอบกระบวนการพัฒนาซอฟต์แวร์ และการใช้กรอบการประเมินที่เป็นระบบ บริษัทต่างๆ สามารถมั่นใจได้ว่าเฉพาะผลิตภัณฑ์ที่ปลอดภัยและมีความยืดหยุ่นเท่านั้นที่จะทำงานในโครงสร้างพื้นฐานภายในของตน คู่มือโดยละเอียดเพิ่มเติมเกี่ยวกับวิธีการเลือกผลิตภัณฑ์ที่ดีที่สุดมีอยู่ผ่านเว็บไซต์นี้
https://lp.kaspersky.com/global/report-supply-chain-reaction/
แคสเปอร์สกี้แนะนำวิธีเพื่อลดความเสี่ยงในซัพพลายเชนและความสัมพันธ์ธุรกิจที่อาศัยความเชื่อถือ ดังนี้
- ร่วมมือกับซัพพลายเออร์ในประเด็นด้านความปลอดภัย การทำงานร่วมกับซัพพลายเออร์อย่างใกล้ชิดเพื่อปรับปรุงมาตรการรักษาความปลอดภัยของพวกเขาเป็นสิ่งสำคัญ การทำงานร่วมกันเช่นนี้จะเสริมสร้างความไว้วางใจซึ่งกันและกันและทำให้การป้องกันเป็นสิ่งสำคัญร่วมกัน
- ประเมินซัพพลายเออร์อย่างละเอียดก่อนทำข้อตกลง การประเมินระดับความปลอดภัยของซัพพลายเออร์ที่มีศักยภาพก่อนเริ่มการทำงานร่วมกันเป็นสิ่งสำคัญ ซึ่งรวมถึงการขอตรวจสอบนโยบายความปลอดภัยทางไซเบอร์ ข้อมูลเกี่ยวกับเหตุการณ์ที่ผ่านมา และการปฏิบัติตามมาตรฐานความปลอดภัยของอุตสาหกรรม
- สำหรับผลิตภัณฑ์ซอฟต์แวร์และบริการคลาวด์ ขอแนะนำให้รวบรวมข้อมูลเกี่ยวกับช่องโหว่ การทดสอบการเจาะระบบ และบางครั้งแนะนำให้ทำการทดสอบความปลอดภัยของแอปพลิเคชันแบบไดนามิก (DAST)
- ปฏิบัติตามข้อกำหนดด้านความปลอดภัยตามสัญญา สัญญากับซัพพลายเออร์ควรมีข้อกำหนดด้านความปลอดภัยของข้อมูลที่เฉพาะเจาะจง เช่น การตรวจสอบความปลอดภัยเป็นประจำ การปฏิบัติตามนโยบายความปลอดภัยที่เกี่ยวข้องขององค์กร และโปรโตคอลการแจ้งเตือนเหตุการณ์
- ใช้มาตรการทางเทคโนโลยีเชิงป้องกัน ความเสี่ยงต่อความเสียหายร้ายแรงจากการถูกแทรกแซงจากซัพพลายเออร์จะลดลงอย่างมาก หากองค์กรของคุณนำแนวปฏิบัติด้านความปลอดภัยมาใช้ เช่น หลักการให้สิทธิ์ขั้นต่ำสุด (Least Privilege), ซีโร่ทรัสต์ (Zero Trust) และการจัดการข้อมูลประจำตัวที่ครบวงจร (Mature Identity Management)
ผู้สนใจสามารถดูคำแนะนำเพิ่มเติมและข้อค้นพบอื่นๆ เกี่ยวกับความเสี่ยงในซัพพลายเชนได้จากเว็บไซต์นี้
https://lp.kaspersky.com/global/report-supply-chain-reaction/
อ้างอิงจากรายงาน "Supply chain reaction: securing the global digital ecosystem in an age of interdependence" สำหรับการจัดทำรายงานนี้ ศูนย์วิจัยตลาดภายในของแคสเปอร์สกี้ได้ว่าจ้างให้ทำการสำรวจ โดยสอบถามผู้นำทางธุรกิจ 1,714 คน ตั้งแต่ระดับผู้บริหารสูงสุด (C-level) และรองประธาน ไปจนถึงหัวหน้าทีมและผู้เชี่ยวชาญอาวุโส จากองค์กรที่มีพนักงานมากกว่า 500 คน การศึกษาครอบคลุม 16 ประเทศ ได้แก่ เยอรมนี สเปน อิตาลี บราซิล เม็กซิโก โคลอมเบีย สิงคโปร์ เวียดนาม จีน อินเดีย อินโดนีเซีย ซาอุดีอาระเบีย ตุรกี อียิปต์ สหรัฐอาหรับเอมิเรตส์ และรัสเซีย