Aproape trei sferturi (71%) dintre companiile mari care au ghiduri de utilizare a datelor pentru parteneri și subcontractanți au primit compensații în urma unui incident care i-a afectat pe furnizorii cu care fac schimb de informații. Comparativ, doar 22% dintre organizațiile de aceeași dimensiune care nu au reglementări în vigoare au raportat acest lucru. Acestea sunt concluziile unui studiu ce vizează liderii de securitate IT, realizat de Kaspersky.
Potrivit Gartner, 71% dintre organizații au mai mulți terți în rețeaua lor decât au avut acum trei ani și se așteaptă ca acest număr să crească în următorii trei ani. Pentru ca subcontractanții să își îndeplinească obligațiile de muncă, companiile le permit deseori accesul la datele lor sensibile și la resursele lor IT.
Raportul Kaspersky IT Security Economics a dezvăluit că 79% dintre companiile mari au politici speciale, care le explică partenerilor și furnizorilor cum să lucreze cu resurse și date partajate, precum și sancțiunile care pot apărea. Îngrijorările lor sunt justificate întrucât, potrivit studiului, se estimează că daunele provocate de incidente vor costa, în medie, 2,57 milioane de dolari, breșele de date situându-se în top 3 cele mai costisitoare probleme cu care se confruntă companiile mari. Cercetătorii Kaspersky au descoperit mai multe atacuri complexe asupra lanțului de aprovizionare, printre care ShadowPad.
Unul dintre principalele avantaje ale implementării politicilor pentru terți este că acestea rezolvă problemele legate de răspundere, prin definirea responsabilității pentru ambele organizații implicate. În consecință, cresc șansele ca o companie să obțină compensații de la un furnizor care devine un punct de intrare pentru un atac. Drept dovadă, 71% dintre companiile mari cu o politică pentru terțe părți au raportat că au primit recompense financiare după un incident, comparativ cu doar 22% dintre colegii care nu aveau astfel de reglementări în vigoare. Politicile sporesc probabilitatea de a obține compensații și în rândul IMM-urilor. De exemplu, 68% dintre IMM-urile cu politici în acest domeniu au primit bani, comparativ cu doar 28% dintre cele care nu au implementat reguli pentru subcontractorii lor.
Sondajul nu a indicat dacă politicile privind breșele de date scad frecvența atacurilor asupra lanțului de aprovizionare. Aproape un sfert (24%) dintre companiile mari care au implementat politici IT speciale pentru terți au înregistrat o breșă de date din cauza unui incident de securitate cibernetică care a afectat furnizorii și doar 9% dintre companiile fără astfel de reguli au confirmat că au suferit un atac.
„Rezultatele studiului nostru pot părea mai degrabă paradoxale întrucât companiile cu politici speciale declară că au experimentat mai des atacuri asupra lanțul de aprovizionare”, spune Sergey Martsynkyan, Head of B2B Product Marketing la Kaspersky. „Cu toate acestea, putem sugera că o companie cu o rețea mai largă de organizații terțe va acorda mai multă atenție acestui domeniu, ceea ce duce la implementarea unor anumite norme. Însă o vastă rețea de subcontractanți poate face astfel de breșe de date mai probabile. În plus, organizațiile care au politici pentru terți pot determina mai exact cauzele unui anumit incident.”
Pentru protecția împotriva atacurilor asupra lanțului de aprovizionare, Kaspersky recomandă următoarele măsuri de securitate:
1. Actualizați-vă periodic lista cu toți partenerii și furnizorii, precum și datele pe care aceștia le pot accesa. Asigurați-vă că au acces doar la resursele de care au nevoie pentru a-și desfășura activitatea. Confirmați că organizațiile care nu fac parte din lista de colaboratori ai companiei sunt excluse și nu pot accesa sau utiliza date și resurse.
2. Furnizați-le tuturor terților cerințele pe care ar trebui să le respecte – inclusiv practicile de conformitate și securitate.
3. Folosiți soluții precum Kaspersky Anti Targeted Attack care pot detecta atacuri avansate care s-ar putea să treacă neobservate de radarul soluțiilor de protecție din companie, inclusiv atacuri asupra lanțului de aprovizionare, într-un stadiu incipient.
Întregul raport este disponibil aici.