随着业务流程变得越来越复杂,公司开始依赖第三方来提升其提供关键服务的能力,从云存储到数据管理再到安全保障。虽然这样做通常更高效且成本更低,但使用第三方服务也可能带来重大——且往往是意想不到的——风险。
第三方可能成为入侵的门户,如果服务出现故障,还可能损害公司的声誉,暴露其在财务和法规方面的问题,并吸引来自全球的不良行为者的注意。与供应商管理不善的分手也可能危险,导致失去对第三方所建立的系统的访问权限、失去数据的保管权或数据本身的丢失。
什么是第三方风险管理?
第三方风险管理(TPRM)是一种风险管理学科,涉及识别、评估和减轻使用外部方(如合作伙伴、供应商、承包商和服务提供商)相关的风险,这些第三方通常可以访问企业的各种系统和数据,且常常作为企业关键业务操作的重要参与者。因此,第三方可能会增加你的网络风险,因为他们可能遇到的任何安全问题都会对你的企业产生连锁效应。
第三方风险管理也常被称为供应商风险管理,提供了一个框架来识别所有能够访问企业系统、数据和设施的第三方,它还确保你的企业根据每个第三方可以访问的内容、其安全实践以及其可能面临的威胁来评估与之相关的风险。
为了减轻第三方风险,企业必须与其依赖的第三方合作,进行其安全实践的评估和审计,还必须建立明确的合同协议,明确所有相关方的安全期望和责任。成功的第三方风险管理还需要持续的监控和监督,以确保第三方遵守已商定的措施,并制定事件响应和补救策略,以应对任何问题。
为什么第三方风险管理很重要?
对第三方服务的依赖正在增加,因此,企业发现自己越来越容易受到合作伙伴实体带来的潜在安全问题的影响。
“企业越来越依赖第三方,如技术和云供应商,这些供应商存储敏感数据或访问关键系统,”Gartner分析师Luke Ellery表示,“如果第三方的网络安全控制较差,这种风险会更高,还有风险是第三方自己的供应商被妥协,如果数据或系统被妥协,可能导致品牌和声誉损害、法律和监管罚款或处罚以及补救成本。”
使用第三方对于许多企业来说是广泛接受的必要举措,技术研究和咨询公司ISG的高级总监Hanne McBlain表示,但这些第三方需要进行持续管理。第三方合作伴随着固有的业务风险,因为这将控制权的一部分移出了公司的墙外。Deltek的首席信息安全官Caleb Merriman表示,考虑到98%的全球企业在过去两年中至少与一个曾遭遇过数据泄露的第三方供应商有联系,这一问题显得尤为紧迫。Deltek是一家为项目型企业提供软件的供应商。
主要的第三方网络安全风险
以下是第三方服务暴露给你的五大主要网络安全风险:
因网络攻击导致的客户和公司数据泄露
根据世界经济论坛的《2022年全球网络安全前景》,通过第三方进行的间接网络攻击——即通过第三方成功入侵公司——在过去几年中从44%增加到61%。IT和安全咨询公司InferSight的首席信息安全官Peter Tran表示,这种情况发生的原因之一是许多公司没有适当的控制措施来有效地卸载第三方供应商。他说:“他们没有相应的流程来控制这些账户的访问管理权和配置,这为寻找仍然活跃的旧账户的网络攻击者留下了机会。”
从第三方数据泄露中获取的数据可能被威胁行为者滥用,进行各种恶意活动,包括身份盗窃、欺诈、账户滥用和外部账户接管攻击,MassMutual的首席信息安全官Ariel Weintraub表示。威胁行为者经常使用从第三方甚至第四方泄露中获取的受损凭证和数据,来访问其他受害者的环境。
“第三方可能在托管公司的数据时受到攻击,或者攻击者首先攻击第三方,然后利用这一点来进入你的IT系统,”MorganFranklin的网络安全分析师Michael Orozco表示。他说,供应商生命周期内的尽职调查和持续监控漏洞将有助于降低这一风险。
实施深度防御策略以限制第三方访问企业网络对于防止对手获取权限升级至关重要,Weintraub说。因此,公司必须在允许第三方访问其系统之前,全面审查所有第三方供应商,以确保他们已实施适当的安全协议。“第三方总是涉及到我们的数据,这就是为什么我们不断评估新的和现有的第三方,以与公司的网络风险相称的方式进行评估。”
事件成本和业务损失带来的财务风险
Managed services公司GreenPages的首席信息安全官和首席信息官Jay Pasteris表示,入侵的成本可能非常高昂,如果公司没有以正确的方式保护其系统,网络安全保险并不总是涵盖数据泄露。
“财务影响不仅是你的损失,你还会对企业的声誉造成损害,”他说,“你会失去客户,你会失去新客户的信任,你失去了现有客户的信任,因此,你失去了收入来源……而替换现有客户需要花费大量金钱,所以这种财务影响会迅速累积。”
声誉损害、客户信任丧失
虽然数据泄露可能并未发生在公司的四墙之内,但如果第三方服务涉及到客户公司的数据或其客户的数据泄露,该公司可能需要发表声明或通知相关人员。Weintraub表示:“由于这种下游影响,声誉影响可能远远超过财务损失。”
服务提供商的数据泄露带来的负面宣传可能损害公司的良好名声或地位,而公众对企业的不良看法可能始于第三方供应商名单中的问题。Orozco说,客户对第三方提供的服务的投诉是潜在问题的良好指示。“客户看不到你的组装、产品、服务以及与你互动的能力是由第三方支持的,”他说,“他们只看到你的名字、你的品牌以及你无法满足对他们的承诺。”
许多企业采取主动措施,以确保其第三方是有效的数据保管者,然而,当第三方带有自己的供应商链时,事情就变得更加复杂,Weintraub表示。“随着你继续深入到你的供应商和你供应商的供应商,了解所有这些实体及其保护敏感数据的第三方风险计划的成熟度可能会变得困难。”
地缘政治风险
McBlain表示,乌克兰战争凸显了企业密切关注政治动态并准备在动荡局势中采取行动的必要性。企业需要确保所有在受制裁司法管辖区的供应商、合作伙伴和合资企业活动已停止。
“然而,乌克兰战争以及对俄罗斯和白俄罗斯的相关制裁并不是唯一需要考虑的地缘政治风险,”她说,“在政权不稳定国家有业务的供应商,例如经历军事政变、暴力起义和系统性压迫少数族裔的国家,需要仔细和持续的监控。”
政治动荡通常伴随着国家级网络间谍活动的增加,企业需要确保其第三方供应商对其承包商进行彻底审查,确认其是否与从事此类行为的政府有联系,Weintraub表示。“第三方可能在不知情的情况下雇用由国家派遣的自由职业IT远程工作者,这些人可能是为该国专制政权创收或获取公司网络访问权,”她说,“虽然他们在工作时可能不从事任何恶意网络活动,但他们可能利用其特权访问权限,从内部推动恶意网络入侵。这使得恶意活动的检测变得困难。”
法规遵从性风险
当第三方供应商违反政府法律、行业法规或公司内部流程时,也会使企业面临合规性风险,供应商的不合规行为可能会使雇用他们的公司面临巨额罚款。
例如,企业需要检查其第三方供应商是否符合SOC2审计标准,SOC2旨在确保第三方保护其客户的敏感数据不被未经授权访问。企业还必须确保第三方遵守隐私和安全法律,如欧盟的《通用数据保护条例》(GDPR)和加州的《隐私权法案》(CPRA)要求,他说。
“合规是一个巨大的风险,”Pasteris表示,“你可能已经符合合规要求并且有必要的控制措施,但突然之间你增加了这些第三方,如果你没有评估他们是否有控制措施,你可能会违反你的合规立场。”
