去年12月,威瑞森电信公司被曝出30万份客户记录被黑客窃取并发布到互联网上,这一消息一度成为新闻头条。
调查后违反威瑞森宣布,其系统没有被攻破,没有未经授权的人获得了访问其服务器的根访问权限,而且,由于大部分信息已经过时,受影响的客户数量只是报告的数字的一小部分。
[也:最糟糕的数据泄露]
它还提到了其他一些事情。这些数据是从威瑞森供应链的一个第三方营销公司窃取的。
英国《金融时报》采访的安全专家表示,公司供应链对黑客的吸引力正在增强方案信息安全论坛(ISF)首席执行官迈克尔·德·克列斯皮尼(Michael de Crespigny)表示:“这是黑客发现最薄弱环节并侵入的一个例子。”ISF是一个关注网络安全问题和信息风险管理的国际协会。
他补充说:“犯罪分子将供应链视为获取信息的一种手段,否则他们无法从一个大型、运作熟练、安全可靠的全球组织获得信息。”
在一个周二发布的报告ISF指出,虽然与供应商共享信息对供应链的运作至关重要,但这也会带来风险。报告指出:“在所有的供应链风险中,信息风险是管理得最差的。”
当涉及到信息风险时,大多数组织关注他们的供应商的一个小子集,通常基于合同大小。这种方法有三个问题:
- 那些会带来风险的合同,比如法律服务协议,可能会被忽略。
- 这种方法对于有许多小合同的组织来说是不可扩展的。
- 它只涉及到一个层次的风险——最初的供应商——而不是其他也会带来风险的人,比如供应商的供应商。
Blue Coat Systems高级副总裁兼首席安全策略师休•汤普森(Hugh Thompson)解释说,发起有针对性攻击的黑客总是在组织防御中寻找最薄弱的环节。
[也看到:大多数公司在供应链风险管理方面落后]
“有时候最薄弱的环节是公司的员工,”汤普森说。“有时候是供应商的it系统。”
“这就是为什么供应链安全现在是一个热门话题,”他补充说。“对许多大公司来说,这可能是最薄弱的一环。”
他接着说,企业面临的风险不仅来自于公司认识的供应商,也来自于公司可能没有意识到的供应商。“有一群未知的供应商正在增长,”汤普森说。“它们是企业使用的服务和技术,从未得到IT部门的批准。”
例如,流行的跨平台信息管理程序Evernote被许多组织的员工使用,但它却没有受到关注。
办公室职员在程序中存储各种各样的信息,毫无疑问,其中一些信息对他们的雇主来说是敏感的。这样的账户会给它不知情的机构带来信息风险。
汤普森解释说:“员工和小团队使用的商业/消费技术越来越多,这让他们成为了未知的供应商。”“如果你是一名攻击者,你可能会希望攻击那些可能保存公司数据的消费者服务,而不是直接攻击一家公司。”
安吉兰斯副总裁乔治(Torsten George)说,企业越来越意识到供应商的风险,并采取措施评估供应商的安全状况。
“过去12个月,这种做法有所增加,”乔治指出。“我们几乎每周都会收到这些供应商风险评估调查。总共有180到600个问题。”
他说:“这些调查给这些公司带来了一点安心。”“但这并不能保证更高的安全级别,尤其是在供应商夸大事实的情况下。”
这篇文章,“供应链对黑客的新诱惑”最初是由方案 。