為了最大程度地減少這些風險和損失，公司需要意識到來自第三方的網絡威脅，并采用新技術來審核供應商和業(yè)務合作伙伴。數(shù)據(jù)泄露會給公司帶來巨大的財務損失和聲譽損失，這也是為什么公司在選擇新供應商時應該認真對待第三方威脅和網絡安全問題的原因。

根據(jù) 2019 年 Juniper Research 的研究報告：到 2024 年，數(shù)據(jù)泄露的損失預計將從每年 3 萬億美元增加到 5 萬億美元，這對于依賴第三方服務來保障其核心業(yè)務的大型公司尤為重要。另外，Opus 和 Ponemon Institute 于 2018 年進行的一項研究發(fā)現(xiàn)：近 60% 的公司經歷了與第三方供應商有關的數(shù)據(jù)泄露事件。

在 2019 年，Quest Diagnostics 宣布其第三方賬單收集機構泄露了 1190 萬患者的個人信息。最近的一個例子來自數(shù)字銀行提供商 Dave，該公司在 7 月披露了涉及 750 萬用戶信息的數(shù)據(jù)泄露事件。該公司表示，數(shù)據(jù)泄露是由其前第三方提供商之一造成的。

供應商越多，威脅越多

如今，許多公司開始依賴許多個第三方供應商來開展工作或者制造商品。例如，蘋果公司 2019 年就與 200 家與其供應鏈相關的公司展開合作。

在許多情況下，網絡威脅是由供應商的安全漏洞帶來的。例如，加密貨幣錢包應用程序 Agama 由于其第三方 JavaScript 庫中的嚴重漏洞而被黑客入侵。

公司在管理第三方網絡威脅方面面臨的主要挑戰(zhàn)是合作伙伴的安全協(xié)議不受公司的直接控制。公司投入資金和技術人員來保護其信息系統(tǒng)免遭數(shù)據(jù)泄露的侵害，但這通常只對其內部環(huán)境有效，而且公司對服務提供商實施的安全管控是有限的。

需要考慮的問題

1.供應商是否具有安全聯(lián)系人或首席安全官？

如果供應商配備了專業(yè)的資源來管理風險、保護關鍵信息，這起碼表明他們以最大的誠意、最認真的態(tài)度采取了安全措施。

2. 供應商是否具有行業(yè)認證？是否符合 NIST 等行業(yè)框架？

盡管行業(yè)認證不一定表明供應商的安全控制是有效的，但是確實為供應商對保護其系統(tǒng)和客戶的信息的承諾提供了額外的保證。

3. 供應商是否具有成熟的威脅管理和情報計劃？

真正重要的是確認供應商的安全控制是有效的，可以通過查看獨立的安全審查報告來評估供應商的漏洞管理、安全軟件開發(fā)流程和威脅管理等方面做的好不好。

4. 供應商允許額外的審計嗎？

根據(jù)第三方供應商的風險狀況，可能需要考慮增加一個條款，提供對第三方系統(tǒng)進行審核以確定其風險和暴露程度的權利。

5. 供應商是否制定了成熟的事件響應計劃？

數(shù)據(jù)保護和隱私保護的相關法規(guī)越來越嚴格，公司有義務在指定的時間范圍內披露重大安全事件。披露的責任在于數(shù)據(jù)所有者和保管者，因此公司需要與受影響的供應商緊密合作，滿足時間表的要求避免罰款或違規(guī)。

6. 供應商是否遭受了重大網絡攻擊或者數(shù)據(jù)泄露？

任何公司都無法在網絡攻擊中幸免遇難，當公司面臨著明顯的問題時，最明智的做法是知道問題出在哪里，解決問題防止問題再次發(fā)生。

7. 供應商產品是否與數(shù)據(jù)處理需求保持一致？

公司可能對特定區(qū)域的數(shù)據(jù)有嚴格的要求或者不同的業(yè)務需求，選擇供應商時，必須對這些要求達成一致并且持續(xù)監(jiān)控。

8. 供應商的網絡安全水平怎么樣？

謹慎確定公司在網絡上的暴露情況，預測由于暴露造成的潛在破壞的可能性。有許多公司可以為供應商提供打分評價，也可以為供應商進行基準測試。
責編AJX