Cyberbezpieczeństwo organizacji szczególnie istotne jest w kontekście łańcucha dostaw, gdzie każdy jego element może stanowić potencjalne miejsce ataku. Znaczenie ochrony łańcucha dostaw rośnie wraz z cyfryzacją procesów biznesowych.
Przypomnijmy krótko, czym jest łańcuch dostaw?
Łańcuch dostaw obejmuje wszystkie czynności, począwszy od pozyskania podstawowych surowców (takich, których źródłem jest ziemia, woda lub powietrze), a skończywszy na sprzedaży końcowemu nabywcy produktu finalnego i utylizacji tego, co z niego zostaje po zużyciu.
Najbardziej istotny w kontekście najbliższych lat temat z zakresu cyberbezpieczeństwa – dyrektywa NIS 2, która w Polsce jest implementowana w postaci nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, wprowadza nowe standardy, mające na celu zwiększenie bezpieczeństwa sektorów kluczowych.
Jaki wpływ dyrektywa NIS 2 ma na sektory krytyczne?
Dla tych, którzy jeszcze nie wiedzą, dyrektywa NIS 2, będąca następczynią dyrektywy NIS, wprowadza jeszcze bardziej rygorystyczne wymagania dotyczące cyberbezpieczeństwa.
Jej celem jest wzmocnienie cyberbezpieczeństwa w sektorach kluczowych dla gospodarki, takich jak m.in. sektor zdrowotny, administracja publiczna energetyka, transport, bankowość, czy infrastruktura cyfrowa. Dyrektywa rozszerza zakres sektorów objętych regulacjami i nakłada obowiązki na większą liczbę podmiotów, a tym samym dzieli je na podmioty kluczowe i istotne.
Określone podmioty muszą spełniać konkretne wymogi dotyczące zarządzania ryzykiem i bezpieczeństwa. Są zobowiązani do wdrożenia odpowiednich środków i rozwiązań, które pozwolą na identyfikację, ocenę i zarządzanie ryzykiem cybernetycznym. Dyrektywa nakłada również m.in. obowiązek zgłaszania incydentów, co ma umożliwiać szybsze reagowanie na zagrożenia i minimalizowanie ich skutków.
Mało tego, projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa jest jeszcze bardziej restrykcyjny, aniżeli sama dyrektywa NIS 2.
Szacuje się, że zakresem bardzo restrykcyjnych regulacji ma zostać objętych ponad 40 000 jednostek na terenie całego Kraju.
Konsekwencje niewypełnienia wymogów NIS 2 i UKSC mogą być TRAGICZNE w skutkach. Oprócz ogromnych kar finansowych sięgających dziesiątek milionów złotych, przedsiębiorstwa mogą stracić zaufanie klientów i partnerów biznesowych, a członkowie zarządu mogą nawet dostać zakaz pełnienia swoich funkcji!
Ostateczny termin implementacji dyrektywy NIS 2 na terenie Polski mija 18 października 2024 roku.
Łańcuch dostaw w kontekście cyberbezpieczeństwa:
W skład łańcucha wchodzi wiele podmiotów, takich jak producenci, dostawcy, dystrybutorzy i detaliczni sprzedawcy. Każdy z tych elementów może być potencjalnym celem cyberataku, co czyni łańcuch dostaw szczególnie wrażliwym na zagrożenia cybernetyczne.
Typowe zagrożenia dla łańcucha dostaw obejmują ataki typu ransomware, phishing czy wprowadzenie złośliwego oprogramowania poprzez luki w zabezpieczeniach systemów.
Przykładem jest atak na firmę SolarWinds z 2020 roku, gdzie wykorzystano lukę w oprogramowaniu Orion do wprowadzenia złośliwego kodu, co miało katastrofalne skutki dla aż 18 tysięcy organizacji korzystających z tego oprogramowania.
Takie incydenty prowadzić do zakłóceń w dostawach, opóźnień produkcyjnych, a w skrajnych przypadkach do całkowitego wstrzymania działalności. Kolejnym przykładem może być atak ransomware na firmę Maersk z 2017 roku, który zablokował całą działalność firmy na kilka dni i spowodował straty w wysokości około 300 milionów dolarów.
Środki ochrony łańcucha dostaw:
Ochrona łańcucha dostaw wymaga kompleksowego, całościowego podejścia, obejmującego zarówno techniczne, jak i organizacyjne środki bezpieczeństwa.
Pierwszym krokiem jest identyfikacja i analiza ryzyka. Przedsiębiorstwa muszą zrozumieć, które elementy ich łańcucha dostaw są najbardziej narażone na ataki i jakie mogą być potencjalne skutki tych ataków.
Następnie należy się skupić na implementacji polityk i procedur bezpieczeństwa. Obejmuje to np. regularne aktualizacje systemów, mechanizmów uwierzytelniania czy szyfrowanie danych.
Bardzo ważnym elementem jest również edukacja i szkolenie pracowników w zakresie cyberbezpieczeństwa, aby byli świadomi potencjalnych zagrożeń i umieli na nie odpowiednio reagować.
Niezbędne do utrzymania wysokiego poziomu ochrony są również stałe monitorowanie i audyty bezpieczeństwa. Przedsiębiorstwa powinny regularnie przeprowadzać testy penetracyjne i audyty systemów informatycznych, aby wykrywać i naprawiać luki w zabezpieczeniach.
Do wprowadzenia w życie tych środków ochrony wymagane jest również wprowadzenie odpowiednich narzędzi w postaci rozwiązań IT, takich jak systemy SIEM czy usługa SOC.
Wymogi NIS 2 stricte w zakresie ochrony łańcucha dostaw:
Według wymogów owej dyrektywy, przedsiębiorstwa muszą nie tylko chronić swoje własne systemy, ale także monitorować bezpieczeństwo swoich dostawców i partnerów. Wymaga to ścisłej współpracy i wymiany informacji między wszystkimi podmiotami zaangażowanymi w łańcuch dostaw.
Głównie z tego powodu, regulacjami będzie objęta tak znaczna część jednostek.
Przedsiębiorstwa muszą natychmiast zgłaszać wszelkie incydenty bezpieczeństwa, co ma umożliwić szybsze reagowanie i minimalizowanie skutków ataków.
Już teraz warto przeprowadzić audyt cyberbezpieczeństwa oraz zacząć szkolenia pracowników. Zalecamy również nawiązywać współpracę z zewnętrznymi ekspertami ds. cyberbezpieczeństwa, aby uzyskać niezależną ocenę i rekomendacje dotyczące zabezpieczeń.
Nasza firma składa się z specjalistów ds. cyberbezpieczeństwa oraz zajmuje się kompleksową realizacja dyrektywy NIS 2 w obrębie jednostek. Jeśli chcą Państwo powierzyć swoje cyberbezpieczeństwo w dobre ręce, to zapraszamy do kontaktu:
Kontakt:
Kamil Brandys – Opiekun Klienta Kluczowego
tel.: 887 104 700
e-mail:
Wróć
