なに、心配? それは、対象が農業経営に影響を与えるサイバーセキュリティリスクに目を向けたときの、農場の所有者や管理者を含む一部の特殊作物生産会社の運営者の反応かもしれません。
農業業界は長い間、潜在的なサイバー攻撃によるリスクが低いと見なされてきました。 しかし、生産を合理化し、サプライチェーンサービスと統合するために新しいテクノロジーを採用する農場や食品加工工場が増えるにつれ、サイバー犯罪はアグリビジネスにとってますます深刻な脅威になりつつあります。 攻撃の数は増加しています。
あらゆる規模の農場事業体を含む多くの企業が、個人情報(PII)の保管と管理に問題を抱えていることが明らかになりました。 ただし、PIIが保護され、効果的に管理される文化を育むことは、現代のビジネスのコアベストプラクティスである必要があります。
「すべてのag企業はテクノロジーに依存しています」とGregGatzke氏は述べています。 「テクノロジーは、組織にとって競争上の優位性を獲得するために使用できますが、セキュリティ、メンテナンス、およびサポートの基盤がなくてもリスクをもたらす可能性があります。 アメリカが必要とする食品を生産し続けることができるように、あなたの会社とサプライヤーが適切な保護とプロセスを持っていることを確認してください。」
Gatzkeは、カリフォルニア州サンノゼとサリナス、およびアイダホ州ボイジーに拠点を置く、受賞歴のあるITコンサルティング会社およびマネージドサービスプロバイダーであるZAGテクニカルサービスの社長です。 Gatzkeは22年前にZAGを設立し、航空宇宙製造会社および防衛産業の請負業者であるMcDonald Douglasでの豊富な経験と、NetworkTechnologyGroupのコンサルタントとしての経験を呼びかけました。 Gatzkeは、ペパーダイン大学でMBAを取得しています。
ウィスコンシンでの農業におけるGatzkeのバックグラウンドは、アグリビジネスおよび生鮮食品セクターにおけるZAGの特定の専門知識の形成に貢献しています。 ZAGは組織と協議して、クラウドコンピューティング、仮想化、システム管理などの分野でハイエンドアーキテクチャを提供するとともに、幅広いマネージドサービスを提供します。
セキュリティ投資が不可欠
「農業は小数点以下で利益を上げる産業です」とGatzkeはVegetableGrowersNewsに語った。 「それは大量、低マージンで動作します。 それはITセキュリティにとって良い前兆ではありません。 しかし、彼らはトラクターのようにこれらのシステムに依存しています。 (農業事業者)テクノロジーへの影響に関しては、成熟する必要があります。」
「私たちは、犯罪者を締め出す方法と、犯罪者が侵入した後の回復方法というXNUMXつの主要な分野で企業と協力しています」とGatzke氏は述べています。 「それほど高価ではない、私たちにできることはたくさんあります。」
食品および農業セクターを標的としたランサムウェア攻撃は、業務を混乱させ、経済的損失を引き起こし、食品サプライチェーンに悪影響を及ぼします。 ランサムウェアは、小規模な農場から大規模な生産者、加工業者、製造業者、市場やレストランに至るまで、セクター全体のビジネスに影響を与える可能性があります。 ランサムウェアの被害を受けた食品および農業事業は、身代金の支払い、生産性の損失、および修復コストに起因する重大な経済的損失を被っています。
「すべての(食品)加工業者はテクノロジー企業です」とGatzkeは、agの世界で最も脆弱なセクターのXNUMXつについて述べています。 「付箋紙にラベルを印刷することはできません。」
企業はまた、専有情報とPIIの損失を経験する可能性があり、ランサムウェア攻撃に起因する評判の低下に苦しむ可能性があります。
基本を追求する
「アグリビジネス全体で、テクノロジーシステムを強化するための最小限のベースラインセキュリティ基準を作成する必要があります」とGatzke氏は述べています。
「コロニアルパイプラインとJBSに対する最近のランサムウェア攻撃は、サプライチェーンと消費者に直接影響を及ぼし、これらのサイバー攻撃がもたらすリスクを浮き彫りにしました。 テクノロジーシステムを強化するために、アグリビジネス全体で最小限のベースラインセキュリティ基準を作成する必要があります。」
少なくとも、GatzkeはWestern Growersのために書いたコラムで、企業は次のことをしなければならないと述べました。
1.セキュリティ標準を実装します。
ウイルス対策システムや高度なファイアウォールなどの組織のネットワークを保護するセキュリティソリューションは、継続的なソフトウェアの更新や脆弱性テストとともに、企業のセキュリティ戦略に必要な要素です。 組織は、すべてのリモートアクセスと電子メールアクセスに多要素認証(MFA)も必要とします。 MFAは、特定のアプリケーションまたはアカウントへのアクセスを許可する前に、XNUMXつ以上の方法で個人のIDを認証するプロセスです。 MFAの実装は絶対確実ではありませんが、組織のセキュリティ体制を強化する上で不可欠なステップです。
2.迅速に回復できる。
組織は最悪の事態に備えて計画を立て、迅速に回復できる必要があります。 犯罪者があなたのネットワークにアクセスした場合、彼らはあなたのバックアップを破壊することができますか? 彼らはしばしば成功するでしょう。 それらは保護されなければなりません。 組織は、スナップショットを使用して即座に回復できる高度なストレージを備えている必要があります。
3.デスクトップが保護されていることを確認します。
あまりにも多くのIT担当者が、データセンター内のサーバーの復元について考えています。 それは私たちの快適な場所です。 すべてのデスクトップが暗号化されている場合、どのように回復するかを尋ねます。 これは、サーバーの損失よりも重要な場合があります。
4.正式な災害復旧、インシデント復旧、および事業継続計画を立てます。
ITは、災害が発生した場合にシステムをどのように復旧するかを説明する正式な災害復旧計画を立てる必要があります。 災害時には、ビジネス全体が対応方法を知っている必要があります。
インシデント対応(IR)計画は、以下をガイドするために重要です。
- システムがダウンしたときに会社全体でどのように通信が行われるか。
- 身代金は支払われますか?
- イベントが顧客やベンダーにどのように伝達されるか。
- 法執行機関、保険会社、その他の機関が関与する時期と場合。
最後に、災害時の運用についてビジネスに指示するためのビジネス継続性計画を作成する必要があります。 これには、次のような質問が含まれます。
- コンピューターなしで製品はどのように生産されますか?
- 注文はどのように伝達されますか?
- 製品はどのように選択され、ラベルが付けられ、出荷されますか?
IR計画はIT向けではありません。 これには組織全体が関与し、侵入が発生した場合に成功するための鍵となります。
5.サプライヤーがリスクをもたらすかどうかを判断します。
古い格言は、組織は最も弱いリンクと同じくらい強いということです。 新しい現実は、彼らが最も弱い供給者と同じくらい強いだけであるということです。 サプライヤが危険にさらされて提供できない場合、組織はシャットダウンされる可能性があります。 企業は、サプライヤーを管理して、保護が実施され、安全であることを確認する必要があります。 これらの保護の例には、安全なリモートアクセス方法、安全なインターネットプレゼンス、フィッシング攻撃を阻止するための電子メール保護、およびダークウェブ上でログイン/パスワードが公開されていないことの確認が含まれます。
6.警戒を怠らない。
すべてのag企業はテクノロジーに依存しています。 テクノロジーは、組織の競争上の優位性を獲得するために使用できますが、セキュリティ、メンテナンス、およびサポートの基盤がなくてもリスクをもたらす可能性があります。 あなたの会社とサプライヤーが適切な保護とプロセスを持っていることを確認して、アメリカが必要とする食品を生産し続けることができるようにしてください。
- ゲイリー・プラーノ、 編集者