英国政府のセキュリティ専門家は、新しいプレイブックを使用してサプライチェーンにベストプラクティスセキュリティを組み込むことを国内企業に呼びかけています。
国家サイバーセキュリティセンター(NCSC)は金曜日、政府のサイバーエッセンシャルズ(CE)スキームは保証メカニズムとして使用されるべきだと述べました。これは新しいNCSSサプライヤーチェックツールと組み合わせて展開でき、組織がどのサプライヤーが認証されているか、どのレベル(CEまたはCEプラス)であるかを迅速に確認できます。
NCSSはまた、売上高が2,000万ポンド未満の英国企業に対し、CE認証により、プロフェッショナルインシデント対応サポートを含む無料のサイバー責任保険が得られることを想起させました。
サイバーエッセンシャルズについてもっと読む:英国のサイバーエッセンシャルズ認証数が不足
プレイブック自体は、企業がサプライチェーンにCEを組み込むのを支援するためのアクショナブルなアドバイス、ツール、リソースを含んでいます。これは7つのステップで構成されています。
- サプライチェーンと、運営/評判/契約/安全に影響を与える可能性のあるセキュリティリスクを理解する
- サプライヤーセキュリティプロファイルのセットを定義する
- 必要に応じてCEを使用して、各プロファイルの最小セキュリティ要件のセットを検討する
- サプライヤーとの最小セキュリティ要件をどのように伝え、実施するかを検討する
- CE採用をインセンティブ化する
- CE採用を調達プロセスとRFPに組み込む
- サプライヤーチェックツールを使用して採用を監視する
NCSSは、そのサプライチェーン原則ガイドが、ステップ1と2のサプライヤーに関連するサイバーリスクをより良く理解するのに役立つと述べました。
「サイバー攻撃が企業に与える影響を直接目撃してきた機会は多すぎました。サプライチェーンは攻撃者が悪用しようとする多数のポイントを提供する可能性がありますが、直接のサプライヤーが直面する潜在的なリスクに対応している企業はわずか14%です」と、サイバーセキュリティ大臣のリズ・ロイドは述べました。
「それが私たちが英国の大手企業に書いた理由です。サイバーセキュリティを強化するためのステップを示すためで、サイバーエッセンシャルズスキームを使用したサプライチェーンの保護に関する特定の措置を含むもので、すべての企業にとって優先事項であるべきです。」
サイバーエッセンシャルズはまだ苦労している
NCSSはCEが組織がベースラインセキュリティ体制を改善するための素晴らしい方法であると述べ、過去1年間に43%がサイバー攻撃を受けたと指摘しました。
しかし、採用は低いままです。四半期認証が今年の最初の3ヶ月間で10,000マイルストーンを超えたとしても、英国には民間部門の企業がほぼ600万社あります。
ベストプラクティスフレームワークの認識は、6月に政府が調査した企業のわずか12%に低下し、2022年の16%から減少しました。大企業(51%)と中堅企業(43%)の数字はより高いですが、それでも普遍的には程遠いです。
この研究は、英国企業のわずか3%が認定されており、大規模組織では21%に上昇していると主張しました。
翻訳元: https://www.infosecurity-magazine.com/news/ncsc-playbook-cyber-essentials/
