По мере продвижения процесса оцифровки в промышленности и обществе кибератаки все чаще нацеливаются на системы управления социальной инфраструктурой и устройства, повышая риск кражи оборудования и принудительного отключения. Toshiba Group разрабатывает стратегии (CyberSecurityReport2023_en_A4), которые включают философию киберустойчивости, направленные на обеспечение полной безопасности информации, продуктов, систем управления и данных по всей цепочке поставок.
В качестве примера мер Toshiba Group по обеспечению киберустойчивости в отчете рассматриваются усилия по обучению реагированию на инциденты безопасности. Он используется для проверки эффективности и бесперебойности мер реагирования на риски в цепочке поставок, которые были усилены в прошлом финансовом году в ожидании потенциальных инцидентов.
В отчете кратко излагаются следующие инициативы в ответ на риски цепочки поставок, которые направлены на предотвращение дыр в безопасности * 1 и реализацию тщательного управления рисками без упущений.
– Управление уязвимостями продукта, которое визуализирует количество уведомлений об уязвимостях для отгруженных продуктов, статус реагирования для каждого из них и уязвимости, сроки реагирования на которые приближаются
– Использование исследования поверхности атаки * 2, которое объективно оценивает уровень безопасности деловых партнеров
– Развитие человеческих ресурсов и просвещение, такие как обучение кибербезопасности и курсы электронного обучения о важности безопасности цепочки поставок
Группа компаний Toshiba уже давно рассматривает риск цепочки поставок как важную проблему. В 2019 году она разработала Руководство по обеспечению качества безопасности продукции Toshiba для поставщиков (Software Edition) и с тех пор внедрила инициативы, которые включают распространение руководства среди деловых партнеров, сотрудничество с отделами закупок и обращение к подрядчикам с просьбой усилить их безопасность. В последние годы стало ясно, что случаи кибератак в одной части цепочки поставок могут привести к повреждению всей цепочки, и в прошлом году Toshiba Group предприняла контрмеры на шаг дальше.
С помощью тренинга реагирования на инциденты безопасности для повышения эффективности операций по обеспечению безопасности Toshiba Group активно продвигает автоматизацию процессов “прогнозирования и обнаружения” и “реагирования и восстановления”, а также использование аналитики угроз * 3 и реализует инициативы по минимизации влияния рисков безопасности на корпоративную деятельность. В предыдущем финансовом году при участии крупнейших компаний Группы в Японии Toshiba Group провела тренинг, имитирующий реальные инциденты, чтобы подтвердить, существуют ли системы и рабочие процессы, такие как обмен информацией между связанными сторонами, каналы связи, точки принятия решений и заблаговременная подготовка, для поддержки надлежащего реагирования на инциденты. Toshiba Group взяла выводы и проблемы из тренинга и использует их для следующего раунда обучения. Группа продолжает продвигать инициативы по обеспечению киберустойчивости, такие как проведение тренингов с участием зарубежных компаний Группы и внедрение последующего обучения.
В дальнейшем Toshiba Group продолжит выполнять свои требования к подотчетности в области кибербезопасности. Публикация подробных отчетов о политике, стратегиях и конкретных мерах по обеспечению безопасности как на своем веб-сайте, так и в отчете о кибербезопасности обеспечит правильное понимание инициатив заинтересованными сторонами.
* 1: Недостатки информационной безопасности, вызванные программными дефектами или ошибками проектирования в компьютерной операционной системе и программном обеспечении
* 2 Обзор, который автоматически исследует состояние мер безопасности для сетей и приложений, доступных извне, проверяет уязвимые службы и потенциальные уязвимости и оценивает уровень безопасности
* 3 Общий термин для информации, такой как тенденции угроз, связанных с безопасностью, и хакерские атаки по всему миру, которая помогает принимать решения по безопасности