هناك حاجة ملحة تستلزم من الشركات تجنيد أقسام إدارة سلسلة التوريدات لديها في الحرب ضد الهجمات السيبرانية. وفقاً لأبحاثنا، أُطلق ما يزيد على 60% من الهجمات المبلّغ عنها على الشركات الأميركية المتداولة في البورصة عام 2017 من خلال أنظمة تقنية المعلومات الخاصة بالموردين أو أطراف ثالثة مثل المتعهدين، مقارنة بأقل من ربع هذا العدد من الهجمات عام 2010. وحدثت مجموعة من الهجمات البارزة على الشركات الكبرى، بما فيها "إكويفاكس" (Equifax) و"نتفلكس" (Netflix) و"بيست باي" (Best Buy) و"تارغت" (Target)، بهذه الطريقة.
انظروا إلى الهجوم الذي حدث على شركة "تارغت" عام 2014، والذي تسبب في خسائر تُقدر بـ 162 مليون دولار أميركي. كان المورد شركة خاصة صغيرة لأنظمة التدفئة والتهوية والتكييف تُدعى "فازيو" (Fazio)، وبعد أن تسلل المهاجمون إلى الجدار الناري لشركة "فازيو"، سرقوا بيانات حسابات الشركة ليتمكنوا بعدها من اختراق نظام شركة "تارغت".
ولتخفيف هذا النوع من المخاطر، يجب على الشركات اتخاذ الإجراءات التالية:
تضمين إجراءات الأمن السيبراني في العقود مع الأطراف الثالثة: تشير أبحاثنا إلى أن العديد من مسؤولي المشتريات الداخلية للشركات لا يعتبرون أن قدرات الأمن السيبراني للبائعين تمثل عاملاً مهماً في اختيار الموردين المميزين أو تطويرهم. يجب أن يتغير هذا، ويجب أن يعمل قسما المشتريات وتقنية المعلومات معاً بشكل وثيق لتحقيق ذلك. ويجب أن يلتزم الموردون الرئيسيون بمعايير الأداء والتدريب، ومن ثم يجب تقييمهم بانتظام للتأكد من التزامهم بهذه المعايير. ويمكن أيمكن للشركات تصميم معاييرها الخاصة أو استخدام المعايير العامة الحالية، مثل اللائحة العامة لحماية البيانات (GDRR) أو معايير "المعهد الوطني الأميركي للمعايير والتقنية" (NIST).
ونعتقد أنه يجب التعامل مع ممارسات الأمن السيبراني اللمورد على نحو مشابه لجودة أدائه وسرعته. وإذا لم يتمكن المورد من تحقيق مستويات كافية من الأداء، يجب تمكين مدراء التوريدات من إنهاء العلاقة مع هذا المورد.
الحد من وصول الموردين إلى أنظمة تقنية المعلومات: من خلال العمل مع أقسام تقنية المعلومات، ينبغي لمدراء التوريدات أن يحدوا بصرامة أكثر من وصول الموردين إلى أنظمة الشركة التي تطلب المشتريات، وينبغي عليهم تقسيم الموردين على أساس من يحتاج منهم للوصول إلى أجزاء محددة من أنظمة المكاتب الخلفية للشركة التي تطلب المشتريات (على سبيل المثال، نظم إدارة المستودعات أو المخازن أو نقاط البيع). وينبغي تصنيف الموردين الذين لا بد من السماح لهم بالتغلغل بعمق أكبر في الشبكة الداخلية للشركة كفئة أولى، على أن يتأكد مدراء التوريدات من حصولهم على الاعتماد والتوثيق اللازم ومراقبتهم وفقاً لذلك.
لقد عملت كل من شركتي "تارغت" و"وول مارت" مع مورد أنظمة التدفئة والتكييف الذي استخدمه المهاجمون السيبرانيون لاختراق "تارغت"، لكن "وول مارت" خرجت سالمة دون أذى؛ لأنها كانت قد صنفت مورديها بشكل مناسب ونجحت في الحد من وصول المورد المعني إلى نظام مكتبها الخلفي.
العمل مع المنافسين: سيسلك المهاجمون الطريق الذين يجدون فيه أقل مقاومة لتحقيق أكبر مردود ممكن. وبالتالي، فإنهم غالباً ما يركزون على الموردين المرتبطين بالعديد من الشركات التي تملك بيانات قيّمة. جرى اختراق بيانات موقع الهاتف النقال لمستخدمي شركات "أيه تي آند تي" (AT&T) و"سبرينت" (Sprint) و"فيرايزون" (Verizon) من خلال خطأ تقني في موقع شركة "لوكيشن سمارت" (LocationSmart)، وهي مورد للشركات الثلاث السابقة. وخسرت شركات أخرى، تشمل فنادق "ستاروود" (Starwood) وفنادق "هيلتون"، بيانات عملائهما عندما اخترق نظام نقاط البيع (منصة مايكروس من أوراكل) المشترك بينهما.
الدرس المستفاد: بدلاً من تنظيم الموردين بشكل فردي، يجب على مدراء التوريدات التعاون مع نظرائهم في الشركات المنافسة لبناء معايير أمان على مستوى الصناعة. ويجب على أي مورد يأمل في إجراء الأعمال مع قادة الصناعة الامتثال لهذه المعايير. قد يفكر المنافسون في تحريك هذا التعاون خطوة إلى الأمام وتنفيذ البرامج التي يتقاسمون من خلالها التقييمات الأمنية للموردين والإشارة إلى المشاكل المحتملة.
مساءلة مدراء التوريدات: للمساعدة في التأكد من نجاح هذه الأنشطة، يجب على الإدارة العليا أن تجعل مدراء التوريدات مسؤولين عن النتائج. فقد جرت العادة أن تدور المقاييس الرئيسية لتقييم أداء مسؤولي المشتريات حول تخفيض النفقات والجودة وضمان استمرار العرض. لم يجر تحفيز هؤلاء المدراء ليجعلوا الأمن السيبراني للمورّد مقياساً رئيسياً في سجلات تقييم أداء الموردين أو في عملية اختيار الموردين، ولكن ينبغي عليهم القيام بذلك.
يجب وضع مدراء أقسام المشتريات في الخط الأمامي من المعركة ضد الهجمات السيبرانية. ويجب تمكينهم من التعامل مع الأمن السيبراني بجدية مثلما يتعاملون مع الجودة والاستدامة وخدمات التوصيل الموثوقة؛ فهم يمكنهم بل وينبغي عليهم لعب دور مهم في جهود الحفاظ على سلامة شركاتهم.