Automatizirane digitalne prijetnje vođene umjetnom inteligencijom nastavljaju se povećavati, stoga se opseg zabrinutosti za kibernetičku sigurnost za CISO eksponencijalno širi. Da izazov bude veći, regulatori su udvostručili strože okvire za upravljanje dobavljačima kako bi ograničili rizike trećih strana, ostavljajući mnoge CISO-ove da muče žongliranje između nadzora nad svakodnevnim rizicima i regulatornih rokova.
Andrius Minkevičius, suosnivač tvrtke Cyber Upgrade, koji je blisko surađivao s CISO-ima koji upravljaju fintechom i drugim visokotehnološkim industrijama, podijelio je ključne strategije koje bi mogle olakšati teret stručnjacima za kibernetičku sigurnost i pomoći u smanjenju rizika unutar partnerske mreže tvrtke.
Glavni službenici za informacijsku sigurnost (CISO) suočavaju se s kritičnim izazovom upravljanja sigurnošću pružatelja IT usluga trećih strana, čije ranjivosti mogu izložiti periferne partnere povredama podataka i prekidima rada. Čvrsta provjera, kontinuirani nadzor i redovite revizije ovih dobavljača ključni su za ublažavanje rizika u proširenoj mreži.
Kako automatizirane digitalne prijetnje postaju sve sofisticiranije, glavni službenici za informacijsku sigurnost (CISO) suočeni su sa značajnim izazovom koji se proteže izvan granica njihovih organizacija: preuzimanje odgovornosti za sigurnosni integritet trećih pružatelja IT usluga. Danas se tvrtke sve više oslanjaju na vanjske dobavljače za bitne usluge – od računalstva u oblaku do obrade podataka – što potrebu za rigoroznom provjerom treće strane i upravljanjem rizikom čini ključnim dijelom osiguravanja robusnih linija cyber obrane.
Zbog zamršene prirode napada na lanac opskrbe, jedna ranjivost u sigurnosnom sustavu dobavljača može dovesti do sveobuhvatnih proboja koji utječu na više entiteta. Posljedično, uloga CISO-a proteže se izvan internih sustava na osiguranje periferije, što uključuje sve operacije trećih strana.
Andrius Minkevičius, suosnivač, CTO i CISO u CyberUpgradeu, naglašava važnost sigurnosnog stajališta dobavljača treće strane. “Svaka slabost u tim vanjskim sustavima može dovesti do neovlaštenog pristupa podacima. Nakon kršenja, to može uzrokovati operativne smetnje, kao i ozbiljne reputacijske i financijske štete. Jednostavno rečeno – zlonamjerno kršenje izbacit će veliki dio organizacija iz posla,” objašnjava.
Financijske institucije koriste platforme trećih strana za obradu transakcija, dok zdravstveni sektor ovisi o njima za upravljanje podacima o pacijentima, što ih čini nezaobilaznim čimbenicima za olakšavanje pravilne funkcionalnosti. Međutim, svaki vanjski pružatelj usluga postaje potencijalna ranjiva točka koja bi mogla ugroziti cijelu mrežu.
Prema Minkevičiusu, redovite sigurnosne procjene i praćenje aktivnosti dobavljača treće strane u stvarnom vremenu ključni su za uočavanje ranih znakova ugroženosti, poput neočekivanih promjena mrežnog prometa ili neobičnog ponašanja sustava, što bi trebalo pokrenuti hitne istrage. Međutim, učinkovito upravljanje rizicima trećih strana uključuje više od pukog praćenja i revizija.
"Kontinuirano sudjelovanje i održavanje transparentne komunikacije s dobavljačima ključno je za ublažavanje ovih manje očitih rizika. Proces provjere mora biti rigorozan jer su ulozi nevjerojatno visoki. Također, važno je tražiti suptilnije pokazatelje rizika, poput nevoljkosti da se otkrije sigurnosni incident povijesti ili visoke stope fluktuacije u ključnim sigurnosnim ulogama", savjetuje.
Kao odgovor na evoluirajući krajolik kibernetičkih prijetnji, CISO-e se potiče da neprestano poboljšavaju svoju sigurnosnu strategiju. Kako bi smanjili sve veće rizike povezane s trećim stranama, regulatorna tijela također preuzimaju sve više inicijative. EU-ov Zakon o digitalnoj operativnoj otpornosti (DORA), koji stupa na snagu u siječnju 2025., potaknut će tvrtke da se pridržavaju sveobuhvatnog i jedinstvenog sigurnosnog standarda koji će zahtijevati značajne prilagodbe.
“Zahtjevi DORA-e su opsežni, tako da optimizacija vremenske učinkovitosti postaje ključni aspekt za CISO-ove. Napredni alati za kibernetičku sigurnost mogu pomoći u pojednostavljivanju postupaka provjere, kao i birokratske strane usklađenosti.“
“Općenito, bilo kakve labave stvari potkopavaju sigurnosne mreže poduzeća. Budući da CISO-i ovih dana imaju mnogo toga u rukama, mudro je koristiti automatizaciju tamo gdje je sigurna i učinkovita, omogućujući da veći dio fokusa ostane strateški orijentiran," dodaje Minkevičius.
Cyber Upgrade je tvrtka posvećena izradi inovativnih rješenja za usklađenost s kibernetičkom sigurnošću koja su vođena jasnim fokusom na poboljšanje timskog angažmana, vidljivosti i kontinuiteta rutina kibernetičke sigurnosti. Osnovana od strane tima iskusnih stručnjaka i poduzetnika, vizija tvrtke vrti se oko osnaživanja tvrtki da se zaštite od modernih prijetnji.