別讓供應鏈成爲企業資安最弱的鏈節

近年來銀行組織在數位轉型浪潮下迎向劇烈變革,開放銀行( Open Banking )也成為金融產業關注焦點。

何謂開放銀行?其實開放銀行就是指銀行透過與第三方服務業者合作,以開放應用程式介面( Application Programming Interface,API )共享金融數據資料,將銀行帳戶資訊的主導權還給消費者。

2019年,金管會針對開放銀行進行三階段開放措施,依序是商品資訊、客戶資訊及交易資訊。第一階段先公開商品資訊(不含用戶資料),如房貸利率、信用卡等金融商品;第二階段,開放客戶資訊(需客戶授權同意),包括房貸、存款、基金投資等;第三階段,開放交易資訊(可做支付等交易)。

【圖1】台灣開放銀行發展過程。

___

而隨著金管會逐步推動台灣開放銀行至第二與第三階段,2020年將是第三方服務業者取得銀行客戶資訊,並準備代客戶執行交易的關鍵年,也將是第三方業者安全議題正式浮上檯面的關鍵年。

以下是一些企業因為第三方供應商資安漏洞而遭受損害的案例:

美國Target公司因水電承包商手中的系統帳密失竊而被駭客入侵,導致七千萬客戶的個資外洩(其中包括四千萬人的金融個資),Target直接損失US$148M,執行長為此事件下台。

美國政府為了因應今年的疫情,減輕對就業市場及中小企業的衝擊,緊急提供了薪資保護計畫(Paycheck Protection Program),然而該第三方服務業者平台卻淪為駭客竊取企業資料的跳板,預計超過700萬筆的企業客戶資料遭到外洩。

___

Panorays 執行長Matan感嘆說道:「所有企業最大的挑戰是在管控自身網路安全的同時,也能夠確保供應商的網路安全等級,避免淪為駭客間接攻擊的目標。」

___

一旦供應商未健全內外部的網路防護罩,在與各個企業協作時,等於將幾十萬幾百萬筆客戶資料開門送給攻擊者,更間接透過第三方供應商的弱點進而攻擊主要企業目標。

各個企業皆有供應廠商,隨著市場需求和成長不斷增加數量,企業不乏與國內外供應商間彼此合作;因此,台灣製造業龍頭為供應商網路安全打了先鋒,成立供應商資訊安全協會;工研院資安服務整合平臺SecPaas更於今年新推「資安成熟度評級服務」,目的為透過國際資安法規,讓國內製造業能更便利的審核企業自身資安等級狀況。

若要解析供應鏈攻擊涉及的層面,可根據不同體系之上下游廠商來區分,包含金融單位的各地區分行、ATM服務、聯徵等;高科技產業的協力廠商、新併購的公司與網路服務借接等;電子商務的物流、倉儲、客服系統以及政府單位的各式交換系統、委外開發等,企業不再只擔心IT供應商的網路資安,還有許多跟企業合作的對象皆需要被注意,以下幾點帶您一起審視Panorays如何協助企業在與供應商合作時做好準備。

___

  • Panorays供應鏈資安風險管理平台透過兩個方向替企業進行供應商的合規檢測
  1. 自動化並加速資安調查問卷(Inside-Out Inquiry):
    • 無需手動評估(Excel等問卷)
    • 符合法規合規性和公司內部政策
    • 與供應商協作和互動,建立任務並收到任何針對政策更改的警報
    • 可依據客戶需求進行客製
  1. 7/24 監控和改善網路資安落差(Outside-In Cyber Posture)
    • 連續掃描外部的(公開的)數位足跡與其資安風險
    • Real-time security scoring of cyber posture針對網路態勢的即時風險評分
    • 降低協力廠商和供應商的風險

___

  • 透過Panorays 360度內外監控的全視角,將客戶的安全風險分成不同等級的合作關係,這取決於供應商對企業業務的重要性、與供應商共享數據的敏感性以及對企業的實體主機和虛擬資產的訪問程度。
    1. 透過網路狀態(Cyber Posture)的持續性監控,防護並揭露組織數位資產的網路漏洞,監測組織抵禦網路攻擊的能力。
    2. 提供合規性調查表(Inquiry),合規調查表的回覆也可當成是分析風險的一環,更反應了其公司廠商安全和隱私控制措施的有效性,並檢測是否遵循相關法規。
    3. 最後則是根據客戶合作關係、網路狀態與合規性分為五種風險高低等級,讓評估方透過平台即可輕鬆判斷企業的風險值,進而決策後續的合作方針。

【圖2】Panorays 360度內外監控全視角演示圖。

___

Panorays 提供了一個供應商資安風險審核平台,不但簡化了企業評估供應商的網路安全與合規性,也一併提升雙方安全標準,進而改善雙方合作的互信基礎,根據使用者調查,至少節省約90%的第三方供應商資安管理程序費用,並可將企業查核第三方供應商的安全與合規性響應時間由原先數週甚至數月縮短至8天。

___

我們深知找到能夠合作的第三方供應商實屬不易,能夠與第三方順利合作更是商務成功的關鍵之一,故Panorays 不單只是提供一個資安分數而已,而是提供一個完整的平台,讓企業與所有第三方供應商進行深度的互動並解決企業管理供應商上的問題。

___

___

如有任何資安需求,歡迎洽詢Panorays台灣區代理商數位資安,將有專人為您服務

www.iSecurity.com.tw   |   (02) 7702-1088  | 數位資安系統股份有限公司

Posted in 新聞, 產品新知 and tagged , , , , , , , , , , , , .