自从Target和Home Depot的违规行为被追溯到其供应商的入侵以来,第三方供应商的网络安全管理一直是公司和监管机构关注的重点。的 美国联邦贸易委员会 已将问题标记为 美国证券交易委员会。国防部已施加严格 网络安全要求 对于“流向”分包商的承包商。

但是,尽管越来越关注第三方风险管理的整个生命周期,但供应商事件仍然占报告的数据泄露事件的很大比例。根据Ponemon Institute 2016年3月的报告,有49%的调查受访者表示其组织经历了由供应商造成的数据泄露。

尽管供应商管理计划可以帮助减轻网络风险,但问题的一部分似乎是供应商与其服务的组织之间缺乏持续的协作。例如,许多供应商都依靠个人的社会安全号码(“ SSN”)和出生日期(“ DOB”)来验证希望使用个人信息(例如,员工税表,工资单,401(k))访问门户的员工。 )计划或健康益处。此信息可以一致地使用,或仅用于初始帐户注册,此后,个人将创建唯一的用户名和密码。这些程序可能是在几年前在协商的服务协议中约定的,但是由于最近发生的数据泄露事件,黑市上经常可以使用SSN和DOB,并且不良行为者正在使用该信息访问供应商站点。这类未经授权的访问最近已受到影响 ADP, Equifax, 绿荫 和许多其他供应商。

基于供应商的数据泄露事件响应中还存在很多复杂的问题。在确定什么构成“数据泄露”,是否有泄露通知义务,需要进行法证调查的程度以及双方之间适当的信息共享级别时,卖方和客户可能会有不同的利益。当多个客户受到供应商违规行为的影响时,这些问题就变得更加复杂,每个客户对如何处理响应都有不同的看法。

鉴于最近的网络攻击,重新审视第三方风险管理为公司和供应商提供了一些重要的考虑因素:

  • 协作进行数据安全 –供应商与其客户之间应该保持开放的沟通渠道,并且各方不应回避为应对不断发展的网络威胁而对先前商定的程序进行更改。
  • 为违反做好准备 –公司事件响应计划可以包括针对供应商情况的指南,供应商的响应计划应与合同义务保持一致,并旨在满足预期的客户需求。
  • 查看您的合同条款 –现在可能是更新合同条款的时候了,因此它们包括对监视和审核权,违规响应和信息共享具有实际要求的特定条款。