Kybernetická bezpečnost v logistice není jen odpovědností IT
Po mnoho let byla kybernetická bezpečnost považována za technické téma. Něco, co IT spravuje na pozadí. Firewally, záplaty, antivirový software. Nutné, ale nikoliv strategické. Tento čas je pryč, píše Andreas Anyuru (na obrázku níže), CTO společnosti Consafe Logistics.
Dnes jsou systémy řízení skladů a platformy dodavatelského řetězce hluboce začleněny do podnikových operací. Ovládají tok zboží, automatizaci, robotiku, rezervace dopravy a doručení zákazníkům. Když přestanou fungovat, zastaví se operace. Přestane i příjem příjmů. Zákaznická důvěra je testována.
Kybernetická bezpečnost v logistice již není otázkou IT. Je otázkou kontinuity podnikání. Otázkou na úrovni představenstva. Otázkou vedení.
Nový rizikový krajina pro dodavatelské řetězce
Často čteme o útocích ransomware nebo velkých úniků dat ve zprávách. Co je méně viditelné, je jak tyto incidenty obvykle začínají. Zřídka začínají dramatickým průlomem. Častěji začínají tiše s známou zranitelností ve široce používané technologii.
Dodavatel vydá bezpečnostní záplatu. Některé firmy ji okamžitě aktualizují. Jiné odkládají. Operace běží. Blíží se vrchol sezóny. Testování zabere čas. Aktualizace je přesunuta do dalšího čtvrtletí.
Mezitím útočníci automatizují své skeny. Hledají systémy, které nebyly aktualizovány. A nacházejí je.
V prostředí dodavatelského řetězce jsou důsledky zesílené. Systém řízení skladu neřídí pouze data. Ovládá fyzické operace. Dopravníky, třídicí linky, robotiku, procesy výběru. Mnohé běží 24/7. Jejich zastavení není jako restartování kancelářské aplikace. Může to znamenat zpožděné dodávky, smluvní pokuty a poškození pověsti.
V posledních letech musely některé automobilky v Asii a Velké Británii na několik týdnů zastavit výrobu po kybernetických incidentech. V některých případech se věřilo, že postižené systémy jsou izolované. Finanční dopad byl významný. Operační dopad ještě větší. Poučení je jasné. Izolace není ochranou. Složitost není bezpečnost.
Zaostávají dodavatelské řetězce?
Mnoho společností na úrovni Tier 1 a Tier 2 v Evropě učinilo působivé investice do automatizace, digitalizace a integrace. Platformy WMS jsou propojeny s ERP, systémy řízení dopravy, poskytovateli automatizace a cloudovými službami. Tato konektivita zvyšuje efektivitu a viditelnost napříč hodnotovým řetězcem. Ale zároveň zvyšuje i povrch útoku.
Zároveň stále vidíme prostředí běžící na starších platformách, které již nejsou podporovány. Aktualizace jsou odkládány, protože operace jsou stabilní. „Pokud to funguje, proč to měnit?“ je pochopitelná otázka z operačního hlediska. Z pohledu kybernetické bezpečnosti je to však rostoucí závazek.
Dobře to ilustruje nedávný příklad. Byla odhalena vážná zranitelnost ve široce používaném rámci, který stojí za mnoha moderními aplikacemi. Byla okamžitě vydána záplata. Pro firmy používající podporované platformy bylo možné zranitelnost zmírnit jako součást běžné údržby. Pro ty na nepodporovaných platformách nebyla žádná záplata k dispozici. Expozice tak zůstala.
Sama zranitelnost nebyla unikátní. Nové se budou stále objevovat. Skutečný rozdíl spočíval v schopnosti reagovat.
Zralost kybernetické bezpečnosti je o reakci
Žádná společnost nemůže zaručit, že zranitelnosti nikdy nenastanou. Co určuje zralost, je schopnost jednat, když k nim dojde.
To vyžaduje víc než nástroje. Vyžaduje řízení, procesy a sladění mezi IT a operacemi. Vyžaduje jasnost ohledně vlastnictví rizika. Vyžaduje jasnou cestu aktualizace a disciplínu ji sledovat.
Také je třeba si uvědomit, že kybernetická bezpečnost je kontinuální investice, nikoliv jednorázový projekt.
Normy jako ISO 27001 poskytují strukturovaný způsob práce s informační bezpečností. Pravidelné audity, modelování hrozeb, bezpečné vývojové praktiky a penetrační testování přispívají ke snižování rizika v čase. Monitorování v reálném čase SaaS prostředí a automatizované skenování zranitelností pomáhají odhalit podezřelé chování včas.
Avšak i nejrobustnější rámec nemůže kompenzovat zastaralý, nepodporovaný software. Pokud platforma nemůže být aktualizována, nemůže být zabezpečena.
Otázky, které by si měla klást každá vedoucí skupina
Pro vedoucí na úrovni C v podnicích s intenzivními dodavatelskými řetězci by měla konverzace přejít od technických detailů k strategickému přehledu. Některé důležité otázky k zamyšlení:
• Víme, které z našich kritických systémů dodavatelského řetězce běží na podporovaných platformách?
• Jak rychle můžeme aplikovat bezpečnostní záplaty, aniž bychom narušili operace?
• Existuje jasná, financovaná cesta pro aktualizace a modernizaci?
• Jsou IT a operace sladěny v otázkách vlastnictví rizika a reakce na incidenty?
• Pravidelně testujeme naši odolnost, nejen naši prevenci?
Tyto otázky nejsou IT otázkami. Jsou to otázky podnikové odolnosti.
Proč je to nyní důležité
Dodavatelské řetězce jsou dnes více digitální, více propojené a více automatizované než kdy dříve. Zároveň se zvyšuje geopolitická nejistota a organizovaný kyberzločin. Útočníci chápou, jakou výhodu mají v narušování logistiky. Když zboží přestane proudit, dopad se rychle rozšíří napříč odvětvími.
Důvěra je těžké vybudovat a snadno ztratit. Zákazníci očekávají spolehlivost. Investoři očekávají stabilitu. Regulátoři očekávají náležitou péči. Kybernetická bezpečnost v logistice je proto o ochraně více než jen systémů. Je o ochraně operací, pověsti a dlouhodobé konkurenceschopnosti.
Sdílená odpovědnost
Věříme, že kybernetická bezpečnost v prostředí dodavatelského řetězce musí být považována za sdílenou odpovědnost mezi poskytovateli technologií a zákazníky. Dodavatelé musí navrhovat bezpečné, aktualizovatelné platformy a systematicky pracovat na bezpečnosti. Zákazníci musí upřednostňovat podporované prostředí a neustálé zlepšování.
Společně můžeme posunout diskusi od reakce na incidenty k budování odolnosti. Protože skutečná otázka již není, zda kyberhrozby budou nadále růst. Budou. Skutečná otázka je, zda jsou naše dodavatelské řetězce připraveny reagovat. A to je rozhodnutí vedení.
