Securitate electronică și IT

de
Raluca Mihailescu
-

În timp ce este un adevărat boom de cumpărături on-line din partea consumatorilor, nu trebuie subestimate riscurile asociate, în supply chain, cu volumul imens de date pe care trebuie să îl proceseze și protejeze companiile. Dar nu numai atât. Pandemie sau nu, companiile se bazează din ce în ce mai mult pe IT, la toate nivelurile. Iar aceasta implică, desigur, și anumite vulnerabilități.

Astfel, problema securității datelor devine mai stringentă ca niciodată. Aceasta include PCI DSS (standardul de securitate pentru plăți cu cardul), care ce asigură protecția informațiilor legate de cardurile de credit, precum și standarde ISO pentru securitatea datelor și necesitatea protecției datelor personale ale indivizilor. Această mină de informații este vânată intens, și nu numai de către infractorii cibernetici.

Companiile aplică o varietate de măsuri pentru a proteja securitatea datelor clienților:

  • sisteme WMS moderne și sigure pentru depozitele destinate activităților de e-comerț – sisteme bazate pe cloud și interconectate, care asigură vizibilitate în timp real, pentru operațiuni fiabile și integrate
  • investiții în automatizare, pentru zonele în care eroarea umană poate genera riscuri
  • utilizarea unor sisteme de terță parte pentru a măsura interfața API, având în vedere faptul că aproape toți retailerii utilizează API pentru conectarea serviciilor și transferul de date.

Revoluția digitală înseamnă că oamenii se așteaptă acum, să folosească platforme rapide, fiabile și sigure, dar loialitatea consumatorilor poate fi lesne pierdută dacă se tem că datele lor personale nu sunt protejate. Eșecul în a le câștiga încrederea va aduce, în mod cert, volumele de vânzări ale multor companii vor scădea substanțial, dacă nu se vor opri cu totul.

Burse online

Pe de altă parte, utilizarea burselor online pentru a face rost de capacitate de transport reprezintă o practică zilnică pentru multe afaceri din Europa.

Trebuie subliniat în mod clar faptul că rezervarea unei capacități de transport prin intermediul unei burse online funcționează cu succes pentru aproape toți utilizatorii. Dar există o minoritate de cazuri în care companiile sunt victime ale operatorilor necinstiți.

Platformele de mărfuri spun că fac tot ceea ce pot pentru a proteja companiile, dar cruda realitate este că nu depinde numai de ei. Este, de asemenea, responsabilitatea transportatorilor și expeditorilor/producătorilor pentru a se asigura că fac suficient due dilligence înainte de alocarea unei încărcături. Desigur, realitatea este pentru că totul este motivat comercial și tot ceea ce contează este expedierea produsului cât mai repede, în loc să se realizeze o activitate de due dilligence, pe fundal.

Iată câteva sfaturi pentru companiile care utilizează platformele online:

Planificarea transporturilor

  1. Solicitați furnizarea imediată a documentelor de asigurare (CMR) și a licenței de operare și controlați-le de posibile semne de falsificare (verificați dacă documentele au fragmente cu fonturi sau corpuri de literă diferite, alinieri care nu se potrivesc sau dacă arată ca și cum ar fi modificate cu ajutorul unui copiator. Documentele falsificate conțin adesea greșeli de ortografie sau o combinație a mai multor limbi.)
  2. Solicitați întotdeauna informații despre șofer (CI) și despre camion și trailer (pentru eliminare riscului de sub-subcontractare sau listare pe o altă bursă).
  3. Asigurați-vă că întotdeauna cineva citește și verifică documentele respective (care înțelege limba respectivă).
  4. Verificați încrucișat toate detaliile și controlați telefonic detaliile de contact listate pe profilul companiei de pe bursă. De asemenea, verificați-i website-ul și verificați adresa pe Google Maps și Street View.
  5. Fiți atenți la companiile care și-au schimbat proprietarii recent (utilizați motoarele de căutare online).
  6. Dacă aveți dubii, contactați compania de asigurări pentru a verifica dacă polița prezentată este valabilă.
  7. Comunicați telefonic și prin e-mail. Fiți precauți în mod special atunci când este vorba despre provideri de e-mail gratuit. Nu comunicați prin servicii de mesagerie cum ar fi Skype.
  8. Noilor angajați trebuie să li se permită să lucreze cu bursele de mărfuri după o perioadă de probă.

 În timpul încărcării

  1. Solicitați comanda originală de transport.
  2. Verificați actul de identitate al șoferului, care trebuie să se potrivească cu cel trimis anterior și fotografia să fie a persoanei respective. Comparați semnătura de pe CMR cu identitatea șoferului.
  3. Verificați numerele de înmatriculare ale camionului și trailerului dacă se potrivesc cu cele transmise anterior. Dacă aveți dubii, solicitați certificatele de înmatriculare și confruntați-le cu numerele de pe vehicule.
  4. Informați șoferul că nu se acceptă nicio schimbare de adresă de livrare.
  5. Dacă există îndoieli, opriți încărcarea vehiculului.

După încărcare

  1. Întotdeauna urmăriți livrarea cu clientul.
  2. Timpul este esențial – acționați întotdeauna imediat dacă bunurile nu au ajuns la destinație și dacă șoferul/subcontractorul nu mai răspunde la încercările dvs. de a-l contacta. Câteva ore pot face diferența între recuperarea mărfurilor sau pierderea lor definitivă.
  3. Informați imediat bursa online folosită.

Fiți precaut

  1. Dacă sunteți întrebat despre valoarea mărfii sau despre alte detalii despre produsele respective.
  2. Dacă șoferul sau camionul se schimbă imediat după preluarea mărfii.
  3. În timpul zilelor de sărbătoare sau zilelor libere bancare (șofer necunoscut).
  4. Cu transporturile de lungă distanță care se întind peste weekend (preferate de infractori pentru a câștiga timp, datorită întârzierii în depistarea sau raportarea pierderii de marfă).

Atacuri cibernetice asupra supply chainurilor

O altă latură a atacurilor electronice vizează furnizorii și logisticienii. Agenția Europeană pentru Cybersecuritate (ENISA) a prevăzut o creștere de patru ori a atacurilor software asupra supply chainurilor, anul trecut. Concluzia este foarte clară și sinceră: un nivel bun de securitate nu mai este de ajuns, deoarece atacatorii și-au îndreptat atenția către furnizori, cu impact asupra timpului de nefuncționare a sistemelor, cu pierderi financiare și daune de imagine.

În acest mediu complex pentru supply chainuri, stabilirea unor bune practici și implicarea în acțiuni coordonate la nivelul UE pot susține statele membre în dezvoltarea unor capabilități similare, pentru a atinge un nivel comun de securitate. ENISA oferă un set de recomandări pentru clienți, pentru administrarea securității cibernetice și a relației cu furnizorii.

 Recomandări pentru abordarea riscurilor securității cibernetice

  • Identificați și documentați furnizorii de produse și de servicii.
  • Definiți criterii de risc pentru diferitele tipuri de furnizori, cum ar fi elementele de dependență, software și puncte vulnerabile.
  • Evaluați riscurile din supply chain în conformitate cu evaluarea impactului asupra continuității afacerii.
  • Definiți măsuri de tratare a riscurilor bazate pe bune practici.
  • Monitorizați riscurile și amenințările din supply chain, pe baza unor surse de informare interne și externe și pe baza monitorizării performanțelor furnizorilor.
  • Instruiți-vă personalul în legătură cu aceste riscuri.

 Pentru managerierea relației cu furnizorii

  • Administrați relația cu furnizorii pe parcursul întregii durate de viață a unui produs sau serviciu, inclusiv prin proceduri de manageriere a produselor sau componentelor la sfârșitul duratei de utilizare.
  • Clasificați activele și informațiile care sunt partajate – sau accesibile pentru – furnizori și definiți proceduri relevante pentru accesul acestora.
  • Definiți obligații care trebuie îndeplinite de furnizori pentru protecția activelor organizației, pentru partajarea de informații, drepturi de audit, pentru continuitatea afacerii, pentru monitorizarea personalului și pentru managerierea incidentelor, din punct de vedere al responsabilității, obligațiilor de notificare și procedurilor.
  • Definiți cerințe de securitate pentru produsele și serviciile achiziționate.
  • Includeți toate aceste obligații și cerințe în contractele încheiate. Agreați reguli și cerințe pentru subcontractare.
  • Monitorizați performanța serviciilor și efectuați audituri de securitate periodice, pentru a verifica aderența la cerințele de securitate cibernetică. Aceasta include administrarea incidentelor, vulnerabilitățile, soluțiile de moment, cerințele de securitate etc.
  • Asigurați-vă că furnizorii nu au cunoștință de elemente ascunse sau „backdoors”.
  • Asigurați-vă că sunt respectate cerințele de reglementare și legale.
  • Definiți procese pentru a administra schimbările la nivelul furnizorilor, cum ar fi de instrumente, tehnologii etc.

Bune practici pentru managementul vulnerabilităților, la nivelul furnizorilor

  • Asigurați-vă că infrastructura utilizată pentru proiectarea, dezvoltarea, producția și livrarea produselor, componentelor și serviciilor urmează bune practici în domeniul securității cibernetice.
  • Implementați procese de dezvoltare, mentenanță și suport al produselor cât mai apropiate de cele comun acceptate.
  • Implementați un proces de inginerie cât mai apropiat de cel comun acceptat.
  • Aveți în vedere aplicarea unor cerințe tehnice bazate pe categoria de produse și de riscuri.
  • Oferiți Declarații de Conformitate clienților pentru standardele cunoscute și asigurați și atestați integritatea și originea software-ului open source folosit la nivelul oricărui segment.
  • Definiți obiective de calitate, cum ar fi numărul de defecte sau vulnerabilități identificabile extern, sau probleme de securitate identificabile extern și utilizați-le ca instrument de îmbunătățire.
  • Păstrați date corecte și actualizate în ceea ce privește originea software-urilor sau componentelor și controalele asupra soft-urilor interne sau de terță parte, a instrumentelor și a serviciilor implicate în procesul de dezvoltare a unui software.
  • Realizați audituri periodice pentru a vă asigura că măsurile de mai sus sunt respectate.
  • Monitorizați punctele vulnerabile din punct de vedere al securității raportate de surse interne sau externe, care includ componente de terță parte.
  • Realizați analize de risc prin utilizarea unui sistem de scoring al vulnerabilităților.
  • Implementați politici pentru tratamentul vulnerabilităților identificate, în funcție de risc.
  • Implementați procese de informare a clienților.
  • Verificați patch-urile și testați conformitatea cu cerințele operaționale, de siguranță, legale și de securitate cibernetică și dacă patch-ul este compatibil cu componente furnizate de terțe părți.

sursa: Vigilant, 2021

Raluca MIHĂILESCU

raluca.mihailescu@ziuacargo.ro

ARTICOLE SIMILAREDE LA ACELAȘI AUTOR

LĂSAȚI UN MESAJ

This site uses Akismet to reduce spam. Learn how your comment data is processed.