CISO应向第三方供应商提出的五个关键问题

对于首席信息安全官（CISO）而言，评估与第三方供应商合作的风险并非新鲜事物，但这一领域近期再次成为关注焦点。

随着组织和供应链中第三方软件使用的不断增加，新的风险也随之而来。保险公司科鲁斯（Corvus）报告称，其处理的与第三方供应商相关的事件索赔比例从2023年初的15%上升到2024年初的29%。

近期发生的第三方攻击事件凸显了在签约前对供应商进行审查的重要性。在《2024年下半年Acronis网络威胁报告》中，Acronis威胁研究小组重点指出了两起源于第三方关系的数据泄露事件。

8月，专门从事背景调查的国民公共数据公司（National Public Data）遭遇了大规模数据泄露，29亿行数据遭到泄露。此次泄露源于对第三方的攻击。

10月，债务催收机构金融商业与消费者解决方案公司（Financial Business and Consumer Solutions，FBCS）发生数据泄露，导致超过237700名康卡斯特（Comcast）客户的个人信息曝光。

CISO并不总是能控制第三方供应商的选择过程，因为许多组织采用了分散的采购流程。

此外，出于业务原因和要求，有时需要选择不那么完美的供应商。

但是，CISO仍然有责任确保评估和管理第三方供应商的风险，并控制组织与外部供应商共享数据的方式。

因此，CISO及其团队需要在供应商审查中发挥不可或缺的作用。

CISO应向潜在供应商提出五个关键问题。但首先，他们需要确定供应商在业务影响方面的重要性。

例如，没有必要对餐饮服务商或铅笔供应商进行网络安全措施的严格审查。（可能的例外是确保在线订购应用程序的安全性。）

但是，对于将以某种方式处理重要数据或实施关键流程的供应商而言，审查至关重要。任何潜在供应商都应愿意并能够回答这些问题；任何犹豫或无法回答的情况都是终止沟通的理由。

首先，CISO需要文档资料。处理敏感数据或实施重要业务流程的供应商应备有ISO认证以及（如适用）SOC 2报告或类似的合规性文档。对供应商的安全能力和整体网络安全状况进行第三方验证至关重要。

规模较小的供应商可能没有此类文档，在这种情况下，一份全面的问卷可以取而代之。

如果没有严格的第三方验证，CISO需要确保他们至少拥有全面的审计权，即使不打算使用这些权利。某些监管体系（如欧盟的通用数据保护条例GDPR）可能会要求他们提出此类要求。

但这仅仅是个开始。无偏见的确认是必要的，但还不够。它为更多问题铺平了道路。

CISO需要了解所有软件供应商都拥有安全开发生命周期，并看到一些证据。漏洞检测和修复是关键的讨论要点。如果检测到漏洞或发生事件，供应商的服务水平协议（SLA）对于修复它有何规定？

这个问题可以引发关于供应商在开发安全能力和管理数据方面使用开源的讨论。开源开发本身并非危险，但可能带来风险。

《2024年开源安全和风险分析》（OSSRA）报告发现，在包含风险评估的代码库中，84%存在至少一个已知的开源漏洞，74%包含高风险漏洞。

基于开源技术的许可也可能很复杂，并导致法律问题。CISO需要确保第三方不仅能够保护数据，还能保护知识产权。

就像你调查潜在供应商一样，第三方也应该对其使用的供应商进行同样的调查。CISO需要了解：供应商是否正在审查第三方，如果是，是如何审查的？

随着供应链发起的攻击不断增加，链中的每个实体都需要经过验证，以确保其安全性和可信度。如果第三方不践行自己的尽职调查，它将使整个生态系统面临风险。

如果供应商要处理组织的数据，CISO需要确保供应商处理数据的方式符合监管要求。这个问题最有可能让那些在合规方面挣扎的供应商犹豫不决。

除了绝对肯定和证明之外，任何回答都不应被接受。合规是不可商量的，数据隐私保险至关重要。

网络保险是任何供应商网络安全地位的关键组成部分。CISO需要了解供应商是否投保，更重要的是，要了解详细情况。

例如，如果供应商的严重过失责任有上限，CISO应该寻找另一家供应商。

总之，如果供应商的员工做出恶意、愚蠢或其他损害性的行为，CISO所在的组织不应为此买单。

CISO工作的一个重要组成部分是保护组织的数据。在大多数组织中，没有其他C级高管具备CISO的安全知识和专业技能。

因此，组织需要将CISO置于软件采购和供应链投资的最前沿。CISO需要坚持自己有机会向供应商提出问题，这些问题可能防止数据泄露，并帮助组织避免灾难。