Naruszenie bezpieczeństwa danych w firmie Hertz

19 kwietnia 2024 r. firma Hertz ujawniła naruszenie danych związanych z jej zewnętrznym dostawcą usług, Cleo Communications, który ujawnił dane osobowe klientów - w tym numery prawa jazdy, dane kontaktowe i dane finansowe. Incydent, szczegółowo opisany w oficjalnym zawiadomieniu Hertza, podkreśla utrzymującą się i eskalującą kwestię: kruchość ekosystemu stron trzecich w zakresie ochrony danych i ciągłości operacyjnej.

Cleo Communications - usługa transferu plików używana przez Hertz - doświadczyła nieautoryzowanego dostępu do swoich systemów. Chociaż naruszenie miało miejsce poza głównym środowiskiem Hertz, jego wpływ był bezpośredni i powszechny, a w grę wchodziło zaufanie klientów, prywatność danych i narażenie na ryzyko regulacyjne.

W miarę jak ekosystemy cyfrowe stają się coraz bardziej połączone, dostawcy, podwykonawcy i platformy chmurowe stają się cennymi celami. Pojedyncze słabe ogniwo może kaskadowo doprowadzić do szkód operacyjnych lub reputacyjnych na pełną skalę.

To naruszenie doskonale ilustruje, dlaczego zarządzanie ryzykiem stron trzecich musi być traktowane jako strategiczny filar - a nie tylko funkcja zgodności z przepisami. W moich ostatnich prezentacjach i badaniach podkreślam, że awarie TPRM rzadko dotyczą pojedynczej luki w kontroli - dotyczą one systemowych awarii nadzoru w zarządzaniu łańcuchem dostaw, ubezpieczeniu i monitoringu.

Oto, co organizacje powinny teraz zrobić, aby wzmocnić swoje programy TPRM:

Mapowanie zależności w łańcuchu dostaw

Dowiedz się, kim są Twoi dostawcy, do jakich systemów mają dostęp i jak ich awarie wpływają na Twoje operacje.

Kategoryzacja dostawców według poziomu ryzyka

Nie traktuj wszystkich stron trzecich tak samo. Dostosuj oczekiwania do bezpieczeństwa i prywatności w oparciu o krytyczność usługi.

Wymagaj ocen opartych na dowodach

Nie polegaj na ankietach typu checkbox. Wymagaj aktualnych raportów SOC2, mapowań ISO i weryfikowalnych dowodów wdrożenia kontroli.

Obowiązek ciągłego monitorowania

Ryzyko nie kończy się po wdrożeniu. Regularne ponowne oceny, audyty i weryfikacja kontroli bezpieczeństwa są niezbędne - zwłaszcza w przypadku krytycznych dostawców.

Integracja konkretnych klauzul dotyczących bezpieczeństwa, ciągłości działania i prywatności w umowach

Umowy powinny określać obowiązkowe kontrole, okna powiadamiania o naruszeniach, postanowienia dotyczące prawa do audytu i kary za nieprzestrzeganie przepisów.

Wykorzystaj ramy takie jak DORA, NIS2 i GDPR

Te ramy regulacyjne już definiują wymagania dotyczące łańcucha dostaw - włącz je do swojego cyklu życia TPRM.

Zapewnij możliwość audytu w całym łańcuchu dostaw

Czy to poprzez audyt wewnętrzny, oceny strony trzeciej, czy narzędzia czasu wykonania - widoczność jest jedyną drogą do odporności.

Naruszenie danych spowodowane przez stronę trzecią jest nadal Twoim naruszeniem. Bezpieczeństwo, prywatność i ciągłość operacyjna muszą być własnością zbiorową - i egzekwowane umownie - w całym ekosystemie.

Link

Autor: Sebastian Burgemejster