W 1965 roku przełomowa książka Ralpha Nadera Niebezpieczne przy dowolnej prędkości ujawnili, w jaki sposób producenci samochodów priorytetują styl, wydajność i zysk w zakresie bezpieczeństwa kierowców i pasażerów. Jego narracja pobudziła oburzenie publiczne i skatalizowało szerokie zmiany, w tym powszechne przyjęcie pasów bezpieczeństwa i innych innowacji bezpieczeństwa. Jak zauważyła były dyrektor CISA Jen Easterly Na początku tego rokuDzisiaj znajdujemy się w podobnym punkcie fleksji w dziedzinie rozwoju oprogramowania.
Priorytetizssng Funkcje i funkcje produktu, bezpieczny rozwój oprogramowania jest często traktowany jako refleksja. Zagrożenia cybernetyczne stają się coraz bardziej wyrafinowane, a jeśli organizacje nie wymagają wczesnego wprowadzenia i lepszej integracji środków bezpieczeństwa od dostawców oprogramowania, mogą mieć poważne konsekwencje.
Dostawcy stron trzecich Twojego ryzyka pierwszej strony
Organizacje dziś coraz częściej polegają na oprogramowaniu jako usłudze (SaaS), głęboko w osadzaniu go w infrastrukturze i operacjach biznesowych, ponieważ jest on tańszy i bardziej wydajny. Chociaż rozwiązania te oferują skalowalność i wydajność, wprowadzają również znaczące ryzyko. Jednak teraz żyjemy w erze zdominowanej przez sztuczną inteligencję (AI), w której tradycyjne granice bezpieczeństwa są obchodzone. Biorąc pod uwagę ogromną ilość danych wymienianych między systemami a licznymi podmiotami zaangażowanymi w łańcuch dostaw, wpływ incydentu cybernetycznego związanego z wadami rozwoju oprogramowania jest teraz większy niż kiedykolwiek wcześniej.
Skala i złożoność danych wymagających ochrony gwałtownie wzrosły, ponieważ AI generuje teraz, agreguje i udostępnia ogromne ilości danych między organizacjami i stronami trzecimi.
. 2024 Raport badań nad naruszeniem danych z Verizon ujawnia, że 15% naruszeń dotyczyło zewnętrznych lub dostawców, takich jak łańcuchy dostaw oprogramowania, infrastruktury partnerów hostingowych lub opiekunów danych. Liczba ta rośnie z roku na rok i podkreśla pilną potrzebę, aby organizacje przemyślają swoje podejście do zarządzania ryzykiem stron trzecich.
Jednym z największych błędów, które firmy popełniają w ocenie dostawców, jest koncentracja wyłącznie na zgodności z bezpieczeństwem dostawców, a nie na bezpieczeństwie produktu. Wiele organizacji wysyła długie kwestionariusze do dostawców na temat ich systemu zarządzania bezpieczeństwem informacji (ISMS), ale nie analizuje ich zastosowania i bezpieczeństwa produktu. Partia certyfikacji i zgodności, takie jak ISO 27001, SOC 2, PCI DSS i RODPR, są często postrzegane jako badania odniesienia bezpieczeństwa, ale niekoniecznie gwarantują ciągłe bezpieczne praktyki tworzenia oprogramowania.
Niektórzy dostawcy mogą posiadać te certyfikaty; Jednak niektóre produkty ich portfela mogą wykraczać poza zakres tych standardów bezpieczeństwa i ram. Jeśli zostanie przeoczony, ten martwy punkt może prowadzić do znacznych zagrożeń bezpieczeństwa. Organizacja może założyć, że certyfikowany dostawca ma solidne środki bezpieczeństwa, ale później odkryć, że konkretny produkt, którego używają, brakuje fundamentalnych kontroli bezpieczeństwa.
Wymagaj lepiej od dostawców
Oprzeć się Ataki łańcucha dostaw i łagodzą związane z tym ryzyko, organizacje muszą zmusić swoich dostawców do priorytetu bezpiecznego rozwoju oprogramowania. Oznacza to wymaganie od dostawców wykazania nie tylko zgodności z bezpieczeństwem, ale także jasnego potwierdzenia i zaangażowania w bezpieczne praktyki rozwoju. Oto kilka kluczowych organizacji inicjatyw, aby wdrożyć skuteczny program oceny stron trzecich:
- Rozwiń tradycyjne oceny bezpieczeństwa dostawców: Wyjdź poza podstawowe kwestionariusze bezpieczeństwa cybernetycznego i rzuć wyzwanie dostawcom w zakresie ich zastosowania i środków bezpieczeństwa produktu. Dostosuj program do konkretnych wymagań i dynamiki Twojej organizacji oraz rozważ włączenie pytań związanych z pojawiającymi się technologiami, takimi jak AI.
- Upewnij się, że praktyki cyklu życia w zakresie rozwoju oprogramowania (SDLC): Wymagaj od dostawców, aby przedstawić dowody, że bezpieczeństwo jest włączone na każdej fazie rozwoju, od projektowania po wdrożenie.
- Przesuń zarządzanie ryzykiem innych firm z domeny na kontrolę: Zarządzanie ryzykiem stron trzecich ostatecznie polega na zarządzaniu ryzykiem biznesowym, a nie tylko zagrożeniom bezpieczeństwa. U podstaw jest to problem z danymi. Dlatego organizacje powinny angażować właścicieli danych i odpowiednich interesariuszy w tym procesie i edukować ich na temat związanych z tym ryzyka.
- Żądać przejrzystości: Widoczność kontroli bezpieczeństwa stosowanych do oprogramowania, zamiast polegać wyłącznie na certyfikatach zgodności.
- Przeprowadzić ciągłą ocenę ryzyka innych firm: Ciągłe monitorowanie zewnętrznych dostawców, w miarę upływu czasu zagrożenia bezpieczeństwa.
- Przyjąć sposób myślenia o zerowej śmierci: Załóżmy, że każde połączenie stron trzecich może stanowić potencjalne ryzyko i w miarę możliwości egzekwować ścisłe kontrole dostępu.
Krajobraz cyfrowy z 2025 r. Wymaga fundamentalnej zmiany w zakresie bezpieczeństwa oprogramowania. Podobnie jak pasy bezpieczeństwa i standardy bezpieczeństwa rewolucjonizowały przemysł motoryzacyjny, solidne praktyki bezpieczeństwa muszą stać się normą w tworzeniu oprogramowania.
Organizacje muszą uznać, że ryzyko stron trzecich jest ich własnym ryzykiem. Nie wystarczy już polegać na zapewnieniu sprzedawców lub zgodności z zgodnością. Zamiast tego firmy muszą podjąć proaktywne stanowisko, domagając się przejrzystości, egzekwując rygorystyczne standardy bezpieczeństwa i zapewniając, że bezpieczny rozwój jest priorytetem od podstaw. Jeśli nie zmusimy dostawców do bezpiecznego rozwoju, konsekwencje będą daleko idące, wpływając nie tylko na poszczególne firmy, ale cały ekosystem cyfrowy.
Ejona Preçi jest członkiem i wolontariuszem ISACA oraz wieloletnim liderem cybernetycznym. Pracuje jako Global CISO w Lindal Group, producenta produktów opakowaniowych z Hamburga, a także jest prezesem Women in Cybersecurity (WICYS) Niemcy. Ejona jest zaangażowana w różnorodność i włączenie bezpieczeństwa i ma nadzieję ukształtować przyszłość, w której rozwiązania sztucznej inteligencji (AI) i cyberbezpieczeństwa priorytetowo traktują uczciwość, odpowiedzialność i dobre samopoczucie społeczne, wypełniając lukę między innowacjami a etyką. To jej pierwszy wkład w cotygodniowy think tank bezpieczeństwa komputerowego.