随着业务流程变得更加复杂,企业越来越多地会使用第三方服务,这样能够提高云存储、数据管理、安全等关键服务的能力。将原本需要大费周章的工作外包出去,就能在一定程度上节省内部资源,这样对企业而言往往降本增效的。
然而,使用第三方服务也可能带来额外的风险。第三方服务提供商可能已被黑客入侵,如果他们提供的服务出现故障,这将会损害上下游公司的声誉,使上下游公司面临财务和监管问题,并引起世界各地不法者的注意。即使与管理不善供应商结束合作也不能保证安全,常出现的情况有第三方无法访问现有系统、数据丢失等。
Gartner在《挥发性世界》(Volatile World)发布的2022年风险评估显示,73%的受访者表示,与2019年相比,他们现在对网络安全的评估更为严格了。
Gartner的分析师Luke Ellery表示:“在这种情况下,企业对第三方服务的关注度提高了,组织将越来越依赖第三方,比如那些能提供敏感数据存储、访问关键系统技术和云技术的供应商。如果第三方的网络不安全,那风险会更高,更不要说第三方自己的供应商也可能存在网络不安全的情况。如果这条供应链上的系统、数据受到损害,那么所有相关公司的品牌、声誉都会受到损害,同时也都会受到监管的处罚,到时补救成本也会大大提高。”
咨询公司ISG的高级主管Hanne McBlain表示,对许多企业来说,使用第三方服务是必要的,但它们之间需要持续管理,因为第三方合作伙伴会将控制权转移到公司之外,这就会带来固有的商业风险。Deltek的CISO Caleb Merriman表示,全球98%的组织在过去两年中,至少与一家第三方供应商有过合作,这是关于“第三方服务风险”的环境基数。
世界经济论坛发布的《2022年全球网络安全展望》中说到,通过第三方进行入侵的间接网络攻击,其成功率从过去几年的44%上升到了61%。安全咨询公司InferSight的CISO彼得·特朗(Peter Tran)表示,出现这种情况的原因之一,是许多公司没有良好的控制措施来有效地管理第三方供应商。他说:“企业没有适当的流程和程序来控制帐户的访问权限,这为那些‘利用旧帐户进行攻击’的不法者打开了大门。”
从第三方盗取的数据会被不法者用来进行各种恶意活动,包括身份盗窃、欺诈、账户滥用等, MassMutual的首席信息官Ariel Weintraub表示,这是一个非常复杂的问题,不法者经常会利用第三方甚至第四方的泄露凭证来访问其他受害者的环境。
MorganFranklin的网络安全分析师迈克尔·奥罗斯科(Michael Orozco)表示:“第三方在托管公司数据时可能会受到攻击,或者攻击者会率先瞄准第三方,然后再利用该第三方访问下游公司的IT系统。因此,在整个供应链内对漏洞进行充分调查和持续监控将有助于降低风险。”
Weintraub表示,组织该实施深度防御以限制第三方对组织网络的访问,这样可以防止不法者获得特权。因此,组织必须在第三方供应商访问其系统之前对其进行全面审查,以确保他们实施了适当的安全协议。“当涉及到‘谁拥有我们的数据’时,第三方总是令人担忧,这就是为什么,组织在网络风险上要不断评估第三方,新老合作伙伴都不能放过。”
管理服务公司GreenPages的首席信息官杰伊·帕斯特里斯(Jay Pasteris)表示,如果公司没有以正确的方式保护其系统,入侵所造成的损失会非常严重,而且网络安全保险业务也不一定能涵盖所有公司自己的违规行为。他说:“除了财务方面的影响外,还可能对公司的声誉造成损害。公司会因此失去老客户,新客户也会对公司失去信心,这等于损失了一个收入流,进而让财务影响也更重了。”
公司自己内部没有发生违规行为是没用的,因为涉及公司客户数据的第三方服务会存在违约行为,所以公司时常要对这些事做出声明。Weintraub表示:“由于这种下游影响,声誉上的问题可能会远远超过财务损失。”
第三方供应商的失误会损害到公司的声誉,而公众对企业的负面印象不可能转移到第三方身上,Orozco表示,客户不会去管公司到底用了哪些第三方,第三方又在公司的哪些环节上有过参与,客户就只看得到公司的名字和品牌,以及现在的问题是公司无法满足他们的需求。
因此,许多组织会采取积极的措施,确保其第三方能成为有效的数据保管者。然而,Weintraub表示,当第三方拥有自己的供应链时,事情就会变得复杂得多。她说:“当这条供应链上存在公司、公司的供应商、公司供应商的供应商时,公司就很难深入了解所有第三方安全体系的成熟度,数据安全也会因此大打折扣。”
据McBlain称,俄乌战争之下,各组织都需要密切监测政治上的情况,并做好在动荡局势中采取行动的准备。“然而俄乌战争并不是唯一需要考虑的地缘政治风险,对所有在动荡国家里的供应商都需要进行持续监控。”
Weintraub表示,政治动荡往往会产生大量的国家级网络间谍,企业需要确保其第三方供应商能够审查相关的承包商,以及他们和各政府之间的联系。她说:“第三方可能在不知不觉中雇佣了国家派遣的IT间谍,这些间谍专为该国的专制政权创收、获取信息和数据。尽管间谍们在工作时段不会参与恶意网络活动,但他们可能会利用自己的访问权限从内部发起攻击入侵,这会使得入侵检测变得更为困难。”
当第三方供应商违反法律法规、行业法规或公司内部流程时,就会为公司带来合规风险,供应商不遵守相关规定会给雇用他们的公司带来巨额罚款。
所以组织需要检查其第三方供应商是否符合SOC2审计标准,组织还必须确保第三方遵守隐私相关的法律法规,如欧盟的《通用数据保护条例》(GDPR)和《加州隐私权法案》(CPRA),而在国内,《数据安全法》《个人信息保护法》等都是必需得遵守的法律法规。
原文始发于微信公众号(安在):第三方服务所带来的五大风险
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论