Закупівлі та кібербезпека. Робота з контрагентами та  учасниками ланцюгів постачання

Коли згадують про кібербезпеку, то в основному мають на увазі сторонні небезпеки, що пов’язані з неправомірними діями невідомих сторонніх зловмисників. Це реально. Але, як показує практика, найбільші ризики витоку даних це внутрішні ризики, що пов’язані з діями персоналу (74% співробітників компанії готові обійти правила з кібербезпеки, якщо це допомогло б їм досягти бізнес-мети) та «ризики третіх сторін» – ризики, що створюються зовнішніми сторонами в екосистемі або ланцюгу постачання компанії (постачальники, партнери, підрядники), що мають доступ до внутрішніх даних компанії або клієнтів, систем, процесів або іншої конфіденційної інформації.

Що таке кібербезпека та яке її значення для  бізнесу

Кібербезпека – це комплекс процесів, практичних порад і технологічних рішень, які допомагають захистити важливі системи й дані від несанкціонованого доступу. Кібербезпека стосується технологій, процесів і методів, розроблених для захисту інтелектуальної власності організації,  комерційних даних, даних клієнтів та іншої бізнес інформації, що не підлягає розповсюдження на широкий загал.

Планування та організація кібербезпеки як частина процесу управління ризиками підприємства має застосовуватися у будь-якій організації. Відповідальні особи повинні оцінювати ризики, визначаючи пріоритети сторонніх контрагентів (постачальників) , а також мати стратегію зменшення ризиків і план реагування на кіберінциденти на випадок порушення, а ще краще «зосередитися на безперервному моніторингу та ситуаційній обізнаності шляхом створення системи раннього попередження, яка могла б розпізнати атаки» (К.С. Еванс).

Поширення технологій уможливлює несанкціонований доступ до інформації компанії як ніколи раніше. Ризик зростає з тим фактом, що компанії все частіше зберігають великі обсяги інформації на розрізнених персональних ПК або у хмарних сервісах, фактично не приділяючи уваги контролю їх використання. Загальна глобалізація ринків вимагає передачі учасниками бізнес-екосистем все більше інформації через ланцюги постачання, так виникає ризик витоку даних через третю, четверту сторону співпраці (контрагентів, партнерів, сервісні служби). 

До цього можна додати збільшення кількості систем, додатків, мобільних пристроїв, які постійно підключені до обміну даними. Позаяк користувачі очікують миттєвого доступу до даних в режимі реального часу з будь-якого місця, що збільшує ризикову площу  для діяльності зловмисників.

Важливість виявлення, усунення та повідомлення про потенційне порушення переважає превентивну цінність традиційних засобів контролю ІТ-безпеки. Хоча загальні методи контролю за безпекою ІТ корисні, вони недостатні для забезпечення захисту від складних кібератак, «людського фактору».

Витоки даних мають величезний негативний вплив на бізнес і часто виникають через недостатньо захищені дані. Зовнішній моніторинг за допомогою оцінки ризиків третіх та четвертих сторін співпраці є частиною будь-якої хорошої стратегії управління ризиками. У сучасному світі без комплексного управління ІТ-безпекою ваша компанія може зіткнутися з серйозними фінансовими, юридичними та репутаційними ризиками.

Що робити, щоб закупівлі не були шлюзом для корпоративного кіберзлому

За словами експерта у галузі кібербезпеки Р.Стіннона найкращим способом боротьби із загрозою кібератаки є використання економічних важелів як основного механізму стримування «шляхом збільшення витрат для зловмисників через покращення захисту”.

Найкращий спосіб гарантувати безпеку вашої організації — це не гасіння інцидентів, а профілактичні заходи, що включають:

• Шифрування конфіденційної інформації, створення резервних копій даних
• Регулярне оновлення систем безпеки та програмного забезпечення.
• Проведення регулярного навчання співробітників з кібербезпеки.
• Використання надійної аутентифікації користувачів.
• Установка фаєрволів (брандмауерів).
• Зменшення використання потенційної «площини» для атаки.
• Оцінка діяльності ваших постачальників та інших контрагентів.
• Створення надійних політик і стратегій у протистоянні кіберризикам.
• Захист робочих приміщень.

Програми кібербезпеки повинні бути здатні протистояти кожній із ймовірних загроз  (фішінг, атаки соціальної інженерії, програми-вимагачі, DDoS атаки, атаки типу «відмова в обслуговуванні», злом доступів, тощо) за допомогою відповідних заходів та інструментів. Ці заходи мають виходити за рамки звичайних рішень, включати розширені стратегії та методи підвищення безпеки.

Ось, наприклад, які технології та методи захисту ІТ-інфраструктури ми застосовуємо для безпечної роботи системи APS Smart та її майданчиків: IPS (Intrusion Detection System), Antivirus WAF (Web Application Firewall), AntiSpam, AntiDDoS, AntiPhishing, Patch control, Valnarabilita management, Configuration management; Internal and external monitoring.

Крім цього, все серверне та мережеве обладнання компанії,  торгові майданчики APS  розміщені у сучасному ЦОД DeNovo задля безперебійної роботи та убезпечення від форс-мажорних ситуацій різного роду.

Для захисту передачі даних в APS Smart застосовується шифрований SSL канал. Збереження конфіденційності процедур гарантується завдяки гнучким налаштуванням розподілу доступів до інформації; «закриття» інформації на рівні від персоналії до провайдера. 

Структура дозволяє фізично розділити зовнішній сервер системи для роботи з контрагентами та внутрішній для роботи співробітників компанії. Загальна захищеність системи – відповідає кваліфікаційним стандартам, доведено під час penetration tests.

Управління постачальниками як фактор кібербезпеки

Управління ризиками третіх сторін, і управління постачальниками зокрема, спонукають компанії приділяти більше ваги саме безпеці даних (кібербезпеці). Інколи закупівельнику потрібно себе запитати: а чи знаю я своїх постачальників, чи адекватно я оцінюю ступінь ризику роботи з ними, і чи сам постачальник відповідально працює з моїми даними, щоб вони не були розголошені та не опинилися у Dark і Deep Web?

Система APS Smart має окремий модуль «Управління постачальниками», що  забезпечує стратегічне управління, оперативну взаємодію з контрагентами, контроль ризиків роботи з ними.

За допомогою цього модуля забезпечується:

• Поетапний контроль постачальників: перевірка у момент реєстрації, моніторинг у процесі роботи;
• Рейтингування  постачальників і оцінки ризиків роботи з ними;
• Автоматична звітність і статистика по постачальниках;
• Готові набори критеріїв оцінки контрагентів, статуси їх роботи;
• Можливості стратегічного партнерства з постачальниками, персональний кабінет постачальника, анкетування, тощо.

Управління даними постачальника:

• Зберігання та відстеження всіх даних про постачальників (історія взаємодії з постачальниками, поточні ціни, загальна інформація про компанію).
• Зберігання документів (контракти з постачальниками, рахунки/фактури, сертифікати, що підтверджують відповідність постачальника вимогам бізнесу тощо).
• Аналітика роботи постачальника.
• Сегментація постачальників (на основі продуктивності постачальника та рівня його залучення).
• Інформаційні панелі з оглядом діяльності постачальника.
• Моніторинг ризиків постачальників (репутаційна оцінка та ризик-менеджмент).
• Перевірки відповідності постачальників. Рейтингування, групи ризику; можливість будувати категорійні стратегії.
• Попередньо визначені робочі процеси для мінімізації проблем із постачальником, наприклад, аналіз проблеми, пропозиції вирішення, перегляд вирішення та затвердження.

Наші рішення для управління постачальниками надають повне керування роботою з ними, крім того, варто нагадати, що у системі є багато smart налаштувань для роботи з інформацією, які допомагають Службам Безпеки виконувати свою роботу:

• циклічні налаштування термінів дії рішень по постачальнику (блокування / розблокування), статуси контрагента для закупівельників і статуси контрагента зі сторони СБ,
• логування дій як закупників, так і постачальників (доступи до інформації надається тільки для осіб, з відповідними правами),
• повідомлення співробітників СБ або інших відповідальним особам про зміну статусів або потребу перевірки контрагента,
• відповідне налаштування процесу проведення тендеру: наприклад неможливість руху тендера далі з вибору рішення на його затвердження, якщо хоча б один із постачальників, обраних переможцем, не пройшов перевірку СБ або перевірений із негативним результатом.

Короткі поради для роботи з постачальниками та іншими контрагентами

Зробіть докладний опис своїх постачальників. Без  інвентаризації взаємин з третіми сторонами неможливо оцінити рівень ризику.

Розробіть процедуру оцінки постачальників. Картка (анкета) постачальника з інформацією про нього є ключовим елементом будь-якої стратегії управління ризиками.

Постійно контролюйте та оцінюйте кожного окремого постачальника. Аналізуйте їх діяльність та прибуток у ваші взаємини, використовуйте рейтингування та інші відповідні інструменти.

Визначте показники ефективності кожного постачальника. Чим більше інформації ви маєте, тим краще. Слідкуйте за їхньою діяльністю на зовнішніх сервісах відкритих даних (опендата бот, юконтрол, кларіті проджект).

Ризик кібербезпеки не обмежується лише третіми сторонами. Існує значна ймовірність того, що ваші постачальники мають своїх постачальників. Ці постачальники також створюють ризики для вашої компанії, якщо ваші дані будуть передаватися їм.

Розробіть «запасний» план роботи. Ваш план управління постачальниками має враховувати відсторонення постачальників, які не відповідають вашим принципам роботи та безпеки, їх оперативну заміну.

Створіть спеціальну робочу групу, що за потреби буде вирішувати питання співпраці з потенційними та існуючими постачальниками.

Підтримуйте постійний зв’язок  з вашими контрагентами. Найважливіше — взаємодіяти з вашими постачальниками. Комунікація може зменшити ризики непорозумінь та дати можливість вирішувати проблеми заздалегідь, перш ніж вони перетворяться на проблеми з безпекою.

У чому допомагає APS SMART для захисту безпеки компанії

• Підвищенням прозорості прозорих процедур та їх контрольованістю;
• Підвищенням якості закупівель і зниження ризиків закупівель;
• Технологічністю процесів, безперервністю бізнесу, можливістю оперативного реагування на інциденти;
• Моніторингом життєздатності співпраці, контролем безпеки роботи з контрагентом;
• Відповідністю у дотриманні нормативних та корпоративних вимог кібербезпеки при роботі закупівлями;
• Захистом комерційної та інтелектуальної власності;
• Підтримкою корпоративної (сompliance) соціальної відповідальності у захисті комерційної інформації.