ระบบนิเวศและความตระหนัก
ความเสี่ยงจากคู่ค้าและผู้ให้บริการภายนอก (Third-Party Risk)
Third-Party / Supply Chain Risk
Third-party risk is the risk from vendors, contractors, or service providers who can access your systems or data.
ทำไมคู่ค้าถึงเป็นความเสี่ยง
ผู้ให้บริการไอที ระบบบัญชีคลาวด์ หรือผู้รับเหมาที่เข้าถึงข้อมูลของคุณ หากถูกเจาะ ก็อาจกลายเป็นทางเข้าสู่องค์กรของคุณ ความปลอดภัยของคุณจึงขึ้นกับความปลอดภัยของพวกเขาด้วย
วิธีบริหารความเสี่ยง
- จัดทำรายชื่อคู่ค้าที่เข้าถึงระบบ/ข้อมูลสำคัญ
- ระบุข้อตกลงด้านความปลอดภัยและการแจ้งเหตุในสัญญา
- ให้สิทธิ์เข้าถึงเท่าที่จำเป็นและทบทวนเป็นระยะ
ทำไมบริษัทประกันถึงถามเรื่องนี้
การโจมตีจำนวนมากเข้าถึงองค์กรผ่านคู่ค้าหรือผู้ให้บริการที่ป้องกันตัวเองได้อ่อนกว่า บริษัทประกันถามเรื่องนี้เพราะห่วงโซ่ที่อ่อนแอที่สุดคือจุดที่ถูกโจมตี องค์กรที่ระบุข้อตกลงด้านความปลอดภัยในสัญญาและประเมินคู่ค้าจะได้รับการมองว่าบริหารความเสี่ยงครอบคลุมกว่า
เช็คตัวเอง
สัญญากับผู้ให้บริการภายนอก (Outsource/IT Vendor) ของคุณ ระบุข้อตกลงด้านความปลอดภัยไซเบอร์และการคุ้มครองข้อมูลไว้ชัดเจนแล้วหรือยัง?
ทำแบบประเมินความพร้อม 18 ข้อคำถามที่พบบ่อย
Supply Chain Attack คืออะไร
คือการที่แฮกเกอร์โจมตีผ่านซอฟต์แวร์หรือผู้ให้บริการที่เราไว้ใจ แล้วใช้ช่องทางนั้นเข้าถึงองค์กรของเรา ทำให้แม้เราป้องกันดีก็ยังเสี่ยง
SME ควรประเมินคู่ค้าอย่างไร
เริ่มจากคู่ค้าที่เข้าถึงข้อมูลหรือระบบสำคัญ สอบถามมาตรการความปลอดภัยพื้นฐาน ระบุความรับผิดและการแจ้งเหตุในสัญญา และจำกัดสิทธิ์ให้เท่าที่จำเป็น
ต้องใส่อะไรในสัญญาบ้าง
ควรมีข้อกำหนดการรักษาความปลอดภัยข้อมูล การแจ้งเหตุละเมิดภายในกรอบเวลา สิทธิ์การตรวจสอบ และความรับผิดเมื่อเกิดเหตุจากฝั่งผู้ให้บริการ