A Gartner kutatása szerint a szervezetek 71%-a ma már több partnerrel dolgozik együtt, mint három évvel ezelőtt, és ugyanennyien számítanak arra, hogy partnereik száma a következő három évben még tovább nő. Hogy az alvállalkozók teljesíteni tudják a munkavégzési kötelezettségeiket, a cégek sokszor hozzáférést biztosítanak számukra az érzékeny adataikhoz és az informatikai eszközeikhez.
A Kaspersky informatikai biztonság gazdaságtanával foglalkozó jelentése megállapította, hogy a nagyvállalatok 79%-a rendelkezik olyan speciális irányelvekkel, amelyek meghatározzák, hogyan használhatják a partnerek és a szállítók a megosztott erőforrásokat és adatokat, valamint, hogy milyen szankciókra számíthatnak. Az aggályaik teljesen indokoltak, hiszen a felmérés szerint az incidensekből származó károk becsült költsége átlagosan 2,57 millió dollárra tehető, és az adatsérülések a három legköltségesebb probléma egyike közé sorolhatók a nagyvállalatok életében. A Kaspersky kutatói az ellátási láncot érő több kifinomult támadást is felfedeztek, ezek közül az egyik a ShadowPad.
A harmadik felekre vonatkozó irányelvek egyik fő előnye, hogy megoldást jelentenek az elszámoltathatósággal kapcsolatos problémákra, ugyanis mindkét érintett szervezetre vonatkozóan meghatározzák a felelősségi köröket. Ennek következtében megnő az esélye annak, hogy a vállalat kártérítést kapjon a szállítótól, ha rajta keresztül érte támadás a vállalat rendszerét. A harmadik felekre vonatkozó irányelvekkel rendelkező nagyvállalatok 71%-a mondta azt, hogy egy incidens után anyagi kártérítést kapott, ezzel szemben a szabályzatokkal nem rendelkező hasonló méretű vállalatoknak csak 22%-a számolt be ugyanerről. Az irányelvek megléte a KKV-k körében is növeli a kártérítés valószínűségét. Az irányelvekkel rendelkező KKV-k 68%-a kapott ugyanis kártérítést, míg azok közül, akik nem dolgoztak ki szabályzatokat az alvállalkozóik számára, csak 28% mondhatta el ugyanezt.
A felmérésből az nem derül ki, hogy az adatsérülésekre vonatkozó szabályzatoknak köszönhetően csökkent-e az ellátási láncot érintő támadások gyakorisága. A harmadik felekre vonatkozó speciális informatikai irányelvekkel rendelkező nagyvállalatok csaknem egynegyede (24%-a) szenvedett el adatsérülést a szállítókat érintő kiberbiztonsági incidens miatt, és az ilyen szabályzatokkal nem rendelkező vállalatoknak mindössze kilenc százaléka erősítette meg, hogy támadás áldozata lett.
"A felmérésünk eredménye elég ellentmondásosnak tűnhet, hiszen úgy látszik, mintha a speciális irányelvekkel rendelkező nagyvállalatok gyakrabban szenvednének el ellátási láncot érő támadásokat. Elmondhatjuk azonban, hogy egy szélesebb körű külsős hálózattal rendelkező vállalkozás nagyobb figyelmet fordít erre a területre, és ennek eredményeképpen specifikus irányelveket dolgoz ki. Az óriási alvállalkozói hálózat miatt azonban még így is nagyobb az adatsérülések valószínűsége. A harmadik felekre vonatkozó irányelvekkel rendelkező szervezetek továbbá egy adott incidens okát is pontosabban meg tudják határozni" - mondta Szergej Martsynkyan, a Kaspersky Lab B2B Termékmarketing vezetője.
A Kaspersky a következő biztonsági intézkedéseket javasolja az ellátási láncot érő támadások elleni védelemhez:
1. Rendszeresen frissítse a partnerek és a szállítók listáját, valamint az adatokat is, amelyekhez hozzáférhetnek. Ügyeljen arra, hogy csak azokhoz az forrásokhoz férhessenek hozzá, amelyek a munkavégzésükhöz szükségesek. Ellenőrizze, hogy azok a szervezetek, amelyek nem a vállalat együttműködő partnerei, ne férhessenek hozzá és ne használhassák az adatokat és eszközöket.
2. Minden harmadik fél számára határozza meg a betartandó követelményeket, így többek között a megfelelőségi és a biztonsági gyakorlatokat.
3. A Kaspersky Kaspersky Anti Targeted Attack szoftvere már a korai szakaszban képes észlelni azokat a fejlett támadásokat - többek között az ellátási láncot érő támadásokat - is, amelyeket a periméter-védelmi megoldások esetleg nem vesznek észre.
A teljes jelentés itt érhető el.
A felmérésről
A Kaspersky globális vállalati informatikai biztonsági kockázatokat vizsgáló felmérése (Global Corporate IT Security Risks Survey (ITSRS)) az informatikai döntéshozók részvételével zajló globális felmérés, amelyre immár a kilencedik évben kerül sor. A felmérésben 23 országból összesen 4958 válaszadó vett részt. A résztvevőket arról kérdezték, hogy mi a helyzet az informatikai biztonsággal a szervezetüknél, milyen típusú fenyegetések érik őket, és milyen költségeik merülnek fel, amikor a támadásokból próbálnak felépülni. A felmérés a következő régiókra és országokra terjedt ki: Latin-Amerika, Európa, Észak-Amerika, az ázsiai-csendes óceáni térség, Kína, Japán, Oroszország, Közel-Kelet, Törökország és Afrika.
A Kasperskyről
A Kaspersky egy 1997-ben alapított globális kiberbiztonsági vállalat. A Kaspersky internetes fenyegetésekkel kapcsolatos tudását és biztonsági szakértelmét folyamatosan innovatív biztonsági megoldások és szolgáltatások fejlesztésére használja, hogy védelmet kínáljon vállalkozások, a kritikus infrastruktúra, a kormányok és a fogyasztók számára világszerte. A vállalat széleskörű biztonsági portfóliójába vezető végpont védelmi és számos speciális biztonsági megoldás és szolgáltatás tartozik, az összetett és fejlődő digitális veszélyekkel elleni küzdelem érdekében. Több mint 400 millió felhasználót védenek a Kaspersky technológiái, valamint 270.000 vállalati ügyfélnek segítenek megóvni azt, ami a legfontosabb számukra. További információ: www.kaspersky.com