Закупки и кибербезопасность. Работа с контрагентами и участниками цепей снабжения

Когда упоминают о кибербезопасности, то в основном подразумевают внешнюю опасность, связанную с неправомерными действиями неизвестных злоумышленников. Это реально. Но, как показывает практика, наибольшие риски утечки данных – это внутренние риски, связанные с действиями персонала (74% сотрудников компании готовы обойти правила по кибербезопасности, если это помогло бы им достичь бизнес-цели) и «риски третьих сторон» — риски, создаваемые внешними сторонами в экосистеме или цепи поставок компании (поставщики, партнеры, подрядчики), имеющих доступ к внутренним данным компании или клиентам, системам, процессам или другой конфиденциальной информации.

Что такое кибербезопасность и каково ее значение для бизнеса

Кибербезопасность – это комплекс процессов, практических советов и технологических решений, помогающих защитить важные системы и данные от несанкционированного доступа. Кибербезопасность касается технологий, процессов и методов, разработанных для защиты интеллектуальной собственности организации, коммерческих данных, данных клиентов и другой бизнес информации, не подлежащей распространению.

Планирование и организация кибербезопасности как часть процесса управления рисками предприятия должны применяться в любой организации. Ответственные лица должны оценивать риски, определяя приоритеты сторонних контрагентов (поставщиков), а также разработать стратегию уменьшения рисков и план реагирования на инциденты, а еще лучше «сосредоточиться на непрерывном мониторинге и ситуационной осведомленности путем создания раннего предупреждения, которая могла бы распознать атаки» (К.С. Эванс).

Распространение технологий, как никогда раньше, способствует несанкционированному доступу к информации компании. Риск растет также в связи с тем, что компании все чаще сохраняют большие объемы информации на разрозненных персональных ПК или облачных сервисах, фактически не уделяя внимания контролю их использования. Общая глобализация рынков требует передачи участниками бизнес-экосистем все больше информации через цепи поставок, так возникает риск утечки данных через третью, четвертую сторону сотрудничества (контрагентов, партнеров, сервисные службы).

К этому можно добавить увеличение количества систем, приложений, мобильных устройств, постоянно подключенных к обмену данными. Поскольку пользователи ожидают мгновенного доступа к данным в режиме реального времени из любого места, что увеличивает рисковую площадь для действий злоумышленников.

Важность выявления, устранения и сигнализации о потенциальных нарушениях преобладает над превентивной ценностью традиционных средств контроля ИТ-безопасности. Хотя общие методы контроля безопасности ИТ полезны, но они недостаточны для обеспечения защиты от сложных кибератак, «человеческого фактора».

Утечка данных оказывает огромное негативное влияние на бизнес и часто возникает из-за недостатка в защите этих данных. Внешний мониторинг посредством оценки рисков третьих и четвертых сторон сотрудничества является частью любой хорошей стратегии управления рисками. В современном мире без комплексного управления ИТ-безопасностью ваша компания может столкнуться с серьезными финансовыми, юридическими и репутационными рисками.

Что делать, чтобы закупки не были шлюзом для корпоративного киберзлома

По словам эксперта в области кибербезопасности Р.Стиннона, лучшим способом борьбы с угрозой кибератаки является использование экономических рычагов как основного механизма сдерживания «путем увеличения расходов для злоумышленников через улучшение защиты».

Лучший способ обеспечить безопасность вашей организации — это не тушение инцидентов, а профилактические меры, включающие:

• Шифрование конфиденциальной информации, создание резервных копий данных
• Регулярное обновление систем безопасности и программного обеспечения.
• Проведение регулярного обучения сотрудников по кибербезопасности.Использование надежной проверки подлинности пользователей.Установка файерволов (брандмауэров).Уменьшение использования потенциальных плоскостей для атаки.Оценка деятельности поставщиков и других контрагентов.Создание надежных политик и стратегий в противостоянии киберрискам.
• Защита рабочих помещений.

Программы кибербезопасности должны быть способны противостоять каждой из возможных угроз (фишинг, атаки социальной инженерии, программы-вымогатели, DDoS атаки, атаки типа «отказ в обслуживании», взлом доступов и т.д.) с помощью соответствующих мер и инструментов. Эти меры должны выходить за рамки обычных решений, включать в себя расширенные стратегии и методы повышения безопасности.

Вот, например, какие технологии и методы защиты ИТ-инфраструктуры мы применяем для безопасной работы системы APS Smart и ее площадок: IPS (Intrusion Detection System), Antivirus WAF (Web Application Firewall), AntiSpam, AntiDDoS, AntiPhishing, Patch control, Valnarabilita management , Configuration management; Internal и external monitoring.

Кроме этого, все серверное и сетевое оборудование компании, торговые площадки APS размещены в современном ЦОД DeNovo для бесперебойной работы и защиты от форс-мажорных ситуаций разного рода.

Для защиты передачи данных в APS Smart используется шифрованный SSL канал. Сохранение конфиденциальности процедур гарантируется благодаря гибким настройкам распределения доступа к информации; «закрытие» информации на уровне от персоналии до провайдера.

Структура позволяет физически разделить внешний сервер системы для работы с контрагентами и внутренний сотрудников компании. Общая защищенность системы – отвечает квалификационным стандартам, доказана при проведении penetration tests.

Управление поставщиками как фактор кибербезопасности

Управление рисками третьих сторон и управление поставщиками в частности, побуждают компании уделять большее значение именно безопасности данных (кибербезопасности). Иногда закупщику нужно себя спросить: знаю ли я своих поставщиков, адекватно ли я оцениваю степень риска работы с ними, и ответственно ли сам поставщик работает с моими данными, и что бы они не попали в Dark і Deep Web?

Система APS Smart имеет отдельный модуль Управления поставщиками, обеспечивающий стратегическое управление, оперативное взаимодействие с контрагентами, контроль рисков работы с ними.

С помощью этого модуля возможны:

• Поэтапный контроль поставщиков: проверка в момент регистрации; мониторинг в процессе работы;
• Рейтингование поставщиков и оценка рисков работы с ними;
• Автоматическая отчетность и статистика по поставщикам;готовые наборы критериев оценки контрагентов, статусы их работы;
• Развитие стратегического партнерства с поставщиками; персональный кабинет поставщика, анкетирование и т.д.

Управление данными поставщика:

• Хранение и отслеживание всех данных о поставщиках (история взаимодействия с поставщиками, текущие цены, общая информация о компании).
• Хранение документов (контракты с поставщиками, счета/фактуры, сертификаты, подтверждающие соответствие поставщика требованиям бизнеса и т.п.).
• Аналитика работы поставщика.Сегментация поставщиков (на основе продуктивности поставщика и уровня его привлечения).Информационные панели с обзором деятельности поставщика.Мониторинг рисков поставщиков (репутационная оценка и риск-менеджмент).Проверка соответствия поставщиков. Рейтингование, группы риска; возможность строить категорийные стратегии.
• Предопределенные рабочие процессы для минимизации проблем с поставщиком, например анализ проблемы, предложения решения, пересмотр решения и утверждения.

Наши решения для управления поставщиками предоставляют полное управление работой с ними, кроме того, следует напомнить, что в системе есть много smart настроек для работы с информацией, помогающих Службам Безопасности выполнять свою работу:

• циклические настройки сроков действия решений по поставщику (блокировка/разблокировка), статусы контрагента для покупателей и статусы контрагента со стороны СБ;
• логирование действий как закупщиков, так и поставщиков (доступы к информации предоставляются только для лиц с соответствующими правами),
• уведомление сотрудников СБ или других ответственных лиц об изменении статусов или необходимости проверки контрагента,
• соответствующая настройка процесса проведения тендера: например, невозможность движения тендера дальше с выбора решения на его утверждение, если хотя бы один из поставщиков, избранных победителем, не прошел проверку СБ или проверен с отрицательным результатом.

Краткие советы по работе с поставщиками и другими контрагентами

Создайте подробное описание своих поставщиков. Без инвентаризации отношений с третьими сторонами невозможно оценить уровень риска.

Разработайте процедуру оценки поставщиков. Карта (анкета) поставщика с информацией о нем является ключевым элементом любой стратегии управления рисками.

Постоянно контролируйте и оценивайте каждого отдельного поставщика. Анализируйте их деятельность и прибыль в ваших отношениях, используйте рейтингование и другие соответствующие инструменты.

Укажите показатели эффективности каждого поставщика. Чем больше у вас информации, тем лучше. Следите за их деятельностью на внешних сервисах открытых данных (опендата бот, юконтрол, кларити проджект).

Риск кибербезопасности не ограничивается только третьими сторонами. Есть значительная вероятность того, что ваши поставщики имеют своих поставщиков. Эти поставщики также создают риски для вашей компании, если ваши данные будут переданы им.

Разработайте «запасной» план. Ваш план управления поставщиками должен учитывать отстранение поставщиков, не соответствующих вашим принципам работы и безопасности, их оперативную замену.

Создайте специальную рабочую группу, которая при необходимости будет решать вопросы сотрудничества с потенциальными и существующими поставщиками.

Поддерживайте постоянную связь с вашими контрагентами. Самое важное – взаимодействовать с вашими поставщиками. Коммуникация может уменьшить риски недоразумений и дать возможность решать проблемы заранее, прежде чем они превратятся в проблемы с безопасностью.

Чем поможет APS SMART для защиты компании

• Повышением прозрачности торговых процедур и их контролируемостью;
• Повышением качества закупок и снижением рисков закупок;
• Технологичностью процессов, беспрерывностью бизнеса, возможностью оперативного реагирования на инциденты;
• Автомониторингом жизнеспособности сотрудничества, в контроле  безопасности работы с контрагентом;
• Соответствием соблюдению нормативных и корпоративных требований кибербезопасности при работе с закупками;
• Защитой коммерческой и интеллектуальной собственности;
• Поддержкой корпоративной (сompliance) социальной ответственности в защите коммерческой информации.