Nắm lấy niềm tin bằng không (Phần 4/7): Nhận thức rủi ro chuỗi cung ứng liên tục

Là một phần của loạt bài đang diễn ra về việc áp dụng các phương pháp hay nhất về mức độ tin cậy bằng không, tính năng này tập trung vào nguyên tắc thứ tư trong Mô hình Zero Trust của Schneider Electric, Nhận thức Rủi ro Chuỗi Cung ứng Liên tục và cách chúng ta áp dụng nó trong công ty của mình.

Schneider Electric hiểu rằng các lỗ hổng an ninh mạng trong chuỗi cung ứng rộng lớn và phức tạp của chúng ta có thể không chỉ ảnh hưởng đến sản phẩm hoặc dịch vụ chúng ta sử dụng nội bộ mà còn ảnh hưởng đến các ưu đãi chúng ta bán cho khách hàng.

Rủi ro và mối đe dọa mạng có thể đến từ bất kỳ đâu trong chuỗi cung ứng của chúng tôi và chúng tôi tin rằng các công ty mà chúng tôi tương tác phải chịu trách nhiệm về an ninh mạng khi họ hợp tác với chúng tôi. Do đó, chúng tôi hợp tác với các nhà cung cấp thượng nguồn và khách hàng hạ nguồn để nâng cao nhận thức về bất kỳ rủi ro tiềm ẩn nào trong chuỗi cung ứng để chúng tôi có thể chủ động thực hiện các bước nhằm loại bỏ hoặc giảm thiểu những rủi ro đó.

Dưới đây là tổng quan nhanh về một số chính sách, quy trình và biện pháp kiểm soát bảo mật được tích hợp chặt chẽ giúp chúng tôi đạt được chuỗi cung ứng an toàn hơn.

Xác minh nhà cung cấp. Nguyên lý chính của Zero Trust là “không bao giờ tin tưởng, luôn xác minh”. Một trong những cách chúng tôi áp dụng nguyên lý này vào chuỗi cung ứng của mình là thông qua quy trình thẩm định nhà cung cấp sử dụng đánh giá bảo mật sản phẩm dựa trên bằng chứng. Đánh giá này phù hợp với IEC 62443-4-1, một tiêu chuẩn ngành của Ủy ban Kỹ thuật Điện Quốc tế (IEC) cung cấp hướng dẫn về vòng đời phát triển an toàn (SDL) cho các hệ thống điều khiển và tự động hóa công nghiệp. Bất cứ khi nào có thể, Schneider Electric tuân thủ các yêu cầu của tiêu chuẩn ngành này đối với các quy trình SDL của chúng ta—xác định yêu cầu bảo mật, thiết kế an toàn, triển khai an toàn, xác minh và xác thực, quản lý lỗi, quản lý bản vá và thời hạn sử dụng sản phẩm.

Bằng cách sử dụng tiêu chuẩn này làm thước đo mức độ an toàn của nhà cung cấp, chúng tôi có thể xác định tốt hơn các lỗ hổng mạng tiềm ẩn và rủi ro có thể phát sinh từ sản phẩm hoặc dịch vụ của nhà cung cấp. Ví dụ: nếu ứng dụng của bên thứ ba mà chúng tôi muốn sử dụng nội bộ không được phát triển theo tiêu chuẩn IEC 62443-4-1, ứng dụng đó có thể chứa các điểm yếu có thể dẫn đến mối đe dọa cho công ty của chúng tôi và có khả năng gây rủi ro cho khách hàng của chúng tôi. Đối với những ứng dụng như thế này, chúng tôi có thể chủ động thực hiện các bước để xác định điểm yếu bằng cách tiến hành một số quy trình quét và kiểm tra nghiêm ngặt của riêng mình. Sau đó, chúng tôi hợp tác với nhà cung cấp để chủ động tăng cường bảo mật nhằm đảm bảo rằng Schneider Electric và khách hàng của chúng tôi không gặp rủi ro.

Bảo mật hướng tới khách hàng. Nhân viên của Schneider Electric làm việc trực tiếp với khách hàng phải hoàn thành chứng chỉ Cyber ​​Badge và đào tạo bổ sung liên quan đến bảo mật. Chúng tôi cũng yêu cầu các biện pháp tương tự này đối với các bên thứ ba tiếp xúc với khách hàng, điều này làm tăng nhận thức của chúng tôi về rủi ro chuỗi cung ứng tại các địa điểm của khách hàng tại điểm giao hàng và trong suốt quá trình quản lý liên tục các ưu đãi của chúng tôi. Ví dụ: thông qua chương trình Huy hiệu điện tử, chúng tôi đảm bảo tính bảo mật của bất kỳ mã thông báo USB hoặc thiết bị nào khác được các bên thứ ba sử dụng tại các trang web của khách hàng để tránh mọi thỏa hiệp tiềm ẩn.

truy xuất nguồn gốc. Vì phạm vi tiếp cận quốc tế của chúng tôi, chúng tôi tuân thủ các quy định và luật pháp của các quốc gia mà chúng tôi làm việc và bán hàng, đồng thời tôn trọng mọi yêu cầu mà khách hàng cá nhân có thể có đối với một số quốc gia. Nguồn gốc đang trở nên quan trọng hơn trong vấn đề này vì các sản phẩm và dịch vụ của chúng tôi có nguồn gốc trên toàn cầu. Chúng tôi liên tục tăng cường khả năng truy xuất nguồn gốc và thu thập dữ liệu về nguồn gốc của các thành phần và người tạo ra chúng, điều này giúp tôn trọng các biện pháp trừng phạt, lệnh cấm vận và các rủi ro về nguồn gốc sản phẩm khác ảnh hưởng đến chuỗi cung ứng và các ưu đãi của khách hàng của chúng tôi.

Công cụ giám sát. Giống như bất kỳ biện pháp an ninh mạng nào, chúng tôi có thể sử dụng các công cụ để cung cấp thông tin chuyên sâu và nhận thức về các rủi ro tiềm ẩn trong chuỗi cung ứng. Chẳng hạn, thông tin tình báo về mối đe dọa có thể giúp chúng tôi nhận thức được bất kỳ lỗ hổng tiềm ẩn nào, chẳng hạn như vi phạm dữ liệu, trong sản phẩm của một nhà cung cấp cụ thể. Intel cũng có thể cung cấp thông tin chi tiết về các nhà cung cấp đã bị xử phạt và không được phép sử dụng ở một số quốc gia. Tự động hóa và các công nghệ như trí tuệ nhân tạo và máy học có thể góp phần nâng cao nhận thức về chuỗi cung ứng và có khả năng giúp chúng ta giảm thiểu rủi ro nhanh hơn trong tương lai. Ví dụ: một ứng dụng học máy tốt sẽ có quy trình nhận dạng và giảm thiểu tự động hóa để khắc phục các lỗ hổng ngay khi chúng được phát hiện.

Chìa khóa của nhận thức: Nó phải liên tục

Giống như tất cả các khía cạnh của an ninh mạng, các rủi ro đối với chuỗi cung ứng của Schneider Electric luôn thay đổi và phát triển, đồng thời phương pháp phát hiện và giảm thiểu các mối đe dọa và sự cố tiềm ẩn này của chúng tôi cũng phải liên tục thay đổi.

Các phương pháp như không tin tưởng là một cách tuyệt vời để liên tục cố gắng vượt qua các rủi ro và đảm bảo việc cung cấp các sản phẩm và dịch vụ của chúng tôi một cách an toàn nhất có thể.

Bạn cũng có thể đọc phần một, hai và ba của loạt bài này.