• არის თუ არა მიწოდების ჯაჭვი სუსტი რგოლი (ENG)
პუბლიკაცია:

არის თუ არა მიწოდების ჯაჭვი სუსტი რგოლი

04 ივნისი 2019

მასალის ორიგინალი, ინგლისურენოვანი ვერსია ნახეთ ბიდიო ისრაელის ვებგვერდზე

უკანასკნელ წლებში დაფიქსირებული კიბერთავდასხმები ორგანიზაციებზე მათი მიწოდების ჯაჭვის გავლით განხორციელდა. ერთ-ერთი კიბერთავდასხმა, რომელიც ბოლო დროს ყურადღების საგანი გახდა, Taiwan Semiconductor Manufacturing Company-ს (TSMC) შეეხება, რომელიც Apple-ისთვის მიკროსქემების მთავარი მომწოდებელია.  შედეგად, წარმოების პროცესი შეფერხდა, რამაც კომპანიას 250 მლნ დოლარის ოდენობის ზარალი მიაყენა. მიუხედავად იმისა, რომ თავდასხმა TSMC-ის მიწოდების ჯაჭვზე განხორციელდა, ის ასევე შეეხო Apple-ის კლიენტებს, რადგან TSMC თავისთავად მიწოდების უფრო ფართო ჯაჭვის ერთ-ერთ რგოლს წარმოადგენს.

ხშირად ბიზნესი პროდუქტების წარმოების ან სერვისების გაწევის პროცესში სხვადასხვა მომწოდებელთან თანამშრომლობს. სწორედ ამ გარიგებების ერთობლიობა ქმნის „მიწოდების ჯაჭვს“. ბუნებრივია, თითოეულმა მომწოდებელმა უნდა შეასრულებს წინასწარ განსაზღვრული პირობები, რათა საფრთხე არ შეუქმნას თავის კლიენტს და არ წარმოშვას უმართავი რისკები. კლიენტისთვის რისკი შეიძლება გაჩნდეს იმის გამო, რომ მომწოდებელი ისეთ მომსახურებას გასწევს, რომელიც კლიენტის ბიზნესის საფუძველში დევს (მაგალითად, როგორც TSMC Apple-ისთვის) და ამავე დროს, კლიენტს კონფიდენციალობასთან დაკავშირებულ საფრთხეს უქმნის (მაგალითად, კონფიდენციალური ინფორმაციის გამჟღავნება მომწოდებლის მიერ) ანდა მონაცემთა უსაფრთხოების რისკებს აჩენს.

მიწოდების ჯაჭვის უსაფრთოებასთან დაკავშირებული შემთხვევა საშუალოდ, 15 მლნ დოლარის ოდენობის ზარალს გამოიწვევს. თუმცა პოტენციური ზიანი მხოლოდ ფინანსებით არ შემოიფარგლება, არამედ შეიძლება გავლენა იქონიოს კორპორატიულ რეპუტაციაზე, მომსახურების/პროდუქტის მიწოდების შესაძლებლობაზე და ასევე შეიძლება ჰქონდეს სხვა ირიბი შედეგები. 2015 წლიდან ჩვენ ვხედავთ 70%-ით გაზრდილ თავდასხმებს კორპორაციებზე, რომელიც მიწოდების ჯაჭვის მეშვეობით ხდება. VERIZON-ისა და სხვა კვლევების თანახმად, უახლოეს 3 წელიწადში ჩვენ მეგა-კიბერთავდასხმების მომსწრე გავხდებით სწორედ მიწოდების ჯაჭვზე.

ყველა კომპანია ვალდებულია გააცნობიეროს რისკი, რომელიც მიწოდების ჯაჭვთან არის დაკავშირებული და გადაწყვეტილება მიიღოს ურთიერთობის სტრატეგიისა და უსაფრთხოების დონის გათვალისწინებით, რომელსაც მომწოდებლისგან ელოდება. ამ პროცესს მიწოდების ჯაჭვთან დაკავშირებული რისკების მართვა ჰქვია. უსაფრთხოების დონის განსაზღვრა ხორციელდება პარამეტრების შესაფებით, რომელიც დადგენილია ოფიციალური სააგენტოებისა (კიბერქსელი, NIST და სხვა) და უშუალოდ კლიენტის მიერ.

მომწოდებლების რაოდენობის ზრდა და ცვლილებები ტექნოლოგიებში ართულებს მიწოდების ჯაჭვში რისკების მართვის პროცესს. ფინანსური ორგანიზაციები, მაგალითად, ყოველწლიურად ატარებენ მათი მსხვილი მომწოდელების დაახლოებით, 40%-ის გამოკვლევას, რაც იმას ნიშნავს, რომ თითოეული მომწოდებელი საფუძვლიანად მოწმდება 2 წელიწადში ერთხელ. სწრაფადცვალებად სამყაროში დაგვიანებულ ან არასათანადოდ გამოვლენილ კრიტიკულ ხარვეზებს (საშუალოდ, დაახლოებით 15 ხარვეზი ერთი მომწოდებლისთვის) შეუძლია მიგვიყვანოს მიწოდების ჯაჭვის სერიოზულ დაზიანებასთან იქამდე, რომ შესაძლოა კომპანიის საქმიანობის უმთავრესი ხაზის გათიშვა გამოიწვიოს.

რეგულაციები და შეთანხმებები ამ თემაზე ერთგვაროვან ფორმულირებას საჭიროებს. პარამეტრები, რომელიც განმარტავს თუ რას ნიშნავს მნიშვნელოვანი მომწოდებელი და რა წესები მიესადაგება მას, შეთანხმებული უნდა იყოს ორგანიზაციებს შორის. კვლევის სპეციფიკაცია და მათი ჩატარების სპეციფიკაცია, ასევე იმ უნარების ნაკრები, რომელიც ამ კვლევის ჩასატარებლად არის საჭირო, უნდა უზრუნველყოფდეს სანდოობასა და გამჭვირვალობას, რაც კომპანიებს საშუალებას მისცემს მშვიდად დაეყრდნონ უკვე ჩატარებული კვლევების შედეგებს. რისკების მართვის პროგრამა შეიძლება ფასეული იყოს როგორც კლიენტების, ისე მომწოდებლებისთვის, რომლებიც იტანჯებიან განმეორებითი შემოწმებებით, რაც დროისა და რესურსების ფლანგვაა. ამდენად, მთლიან ეკონომიკას შეუძლია მიიღოს სარგებელი ერთიანი სისტემისგან.

კომპანიის ხელმძღვანელობა უნდა ცდილობდეს მიმართოს რესურსები მიწოდების ჯაჭვის დაცვისკენ, რათა თავიდან აიცილოს ეკონომიკური და რეპუტაციული ზიანი, რაც მიიღწევა რისკების მართვის პრინციპების გამოყენებით ემპირიული მონაცემების საფუძველზე. დღეს სხვადასხვა სამთავრობო ორგანოები აქვეყნებენ რეკომენდაციებს რისკების მართვის თემაზე და კომპანიებს აქვთ საშუალება აირჩიონ, მიიღონ თუ არა ეს რეკომენდაციები. რაც უფრო უკეთ ეცოდინებათ რეგულატორებს რისკის ბუნება, მით უფრო გამკაცრდება რეგულირება. ამიტომ სასურველია კომპანიებმა მიიღონ როგორც ადგილობრივი, ისე საერთაშორისო სტანდარტები და ინსტრუმენტები მიწოდების ჯაჭვის ეფექტური და უსაფრთხო მართვისათვის.