为了最大限度地减少这些风险和损失,公司需要意识到来自第三方的网络威胁,并采用新技术来审查供应商和业务合作伙伴。数据泄露会给公司带来巨大的财务和声誉损失,这就是为什么公司在选择新供应商时应该认真对待第三方威胁和网络安全问题。根据2019年JuniperResearch的一份研究报告:到2024年,数据泄露的成本预计将从每年3万亿美元增加到5万亿美元,这对于依赖第三方服务保护其核心业务的大公司来说尤为重要。此外,Opus和PonemonInstitute于2018年开展的一项研究发现,近60%的公司都经历过涉及第三方供应商的数据泄露事件。2019年,QuestDiagnostics宣布其第三方账单代收机构泄露了1190万患者的个人信息。最近的一个例子来自数字银行提供商Dave,该公司在7月份披露了涉及750万用户信息的数据泄露事件。该公司表示,数据泄露是由其前第三方提供商之一造成的。更多供应商,更多威胁如今,许多公司依赖许多第三方供应商来执行工作或制造商品。例如,Apple在2019年与其供应链相关的200家公司建立了合作关系。在许多情况下,网络威胁是由供应商安全漏洞造成的。例如,加密货币钱包应用程序Agama由于其第三方JavaScript库中存在严重漏洞而遭到黑客攻击。公司在管理第三方网络威胁时面临的一个主要挑战是合作伙伴的安全协议不在公司的直接控制之下。公司投入资金和技术人员来保护他们的信息系统免受数据泄露,但这通常只在他们的内部环境中有效,而且公司对服务提供商的安全控制有限。需要考虑的问题1.供应商是否有安全联系人或首席安全官?如果供应商配备专业资源来管理风险和保护关键措施。2.供应商是否有行业认证?它是否符合NIST等行业框架?虽然行业认证不一定表明供应商的安全控制是有效的,但它确实为供应商保护其系统和客户信息的承诺提供了额外的支持。确保。3.供应商是否有成熟的威胁管理和情报程序?真正重要的是确认供应商的安全控制是有效的。您可以通过查看独立的安全审计报告来评估供应商的漏洞管理、安全软件开发过程和威胁管理等方面是否做得很好。4.供应商是否允许额外审核?根据第三方供应商的风险状况,可能有必要考虑添加一个条款,提供审计第三方系统以确定其风险和暴露的权利。5.供应商是否有成熟的事件响应计划?数据保护和隐私保护法规越来越严格,企业有义务在规定的时间范围内披露重大安全事件。披露的责任在于数据所有者和保管人,因此公司需要与受影响的供应商密切合作,以满足时间表,以避免罚款或不合规。6.供应商是否遭受过重大网络攻击或数据泄露?没有一家公司能够免受网络攻击。当一个公司面临一个明显的问题时,最明智的做法是知道问题出在哪里,解决问题,防止问题再次发生。发生。7、供应商的产品是否符合数据处理要求?公司可能对特定领域或不同业务需求的数据有严格的要求。选择供应商时,必须就这些要求达成一致并持续监控。8.供应商的网络安全水平如何?仔细确定公司在网络上的暴露程度,并预测由于暴露而造成的潜在中断。有许多公司为供应商提供评级和基准。参考来源:福布斯
