Эксперты предупреждают о «чрезвычайной концентрации» киберрисков в цепочке поставок: всего 15 технологических компаний предоставляют 62% продуктов и услуг, используемых 12 миллионами государственных и частных организаций по всему миру. Что еще хуже, исследование SecurityScorecard и McKinsey & Company предупреждает, что этим крупным технологическим компаниям есть куда совершенствоваться, когда дело касается кибербезопасности.
«Масштаб этих компаний увеличивает риск компрометации, создавая значительные риски для третьих сторон для их обширной клиентской базы», — сообщает SecurityScorecard, публикуя результаты своего отчета на конференции RSA в Сан-Франциско. «Подобная крайняя зависимость от нескольких избранных «сильных нападающих» создает опасные точки отказа. В случае серьезного сбоя или нарушения безопасности вся клиентская база поставщика окажется под угрозой».
SecurityScorecard также предупреждает о «резком росте» числа злоумышленников, использующих сторонние уязвимости, которые «распространяются как цифровой лесной пожар», чтобы максимизировать воздействие кибератак на цепочки поставок.
Доктор Александр Ямпольский, генеральный директор SecurityScorecard, говорит: «Подобно ненадежному дому, расположенному на краю обрыва, зависимость от горстки поставщиков формирует основу нашей глобальной экономики. Вопрос, который следует задать: «Сконцентрировали ли мы критически важные услуги на одном поставщике, создав единую точку отказа?»
В отчете говорится, что большая часть (90%) технологических продуктов и услуг, используемых организациями по всему миру, исходит от более широкого пула, состоящего из 150 компаний. Но 41% этих фирм имеют доказательства по крайней мере одного взломанного устройства в прошлом году, а 11% имели доказательства заражения программами-вымогателями. Ведущим источником компрометации было рекламное ПО (35%), за которым следовали вредоносные программы (32%).
Более того, согласно исследованию, 15 ведущих поставщиков программного обеспечения и других услуг для компаний по всему миру имеют рейтинг кибербезопасности ниже среднего по сравнению с более широким пулом из 150 компаний, что увеличивает риск взлома.
«Этот вывод вызывает беспокойство, поскольку эти компании имеют больший потенциал причинения вреда третьим лицам своим клиентам из-за более низких рейтингов безопасности и чрезвычайно большой доли рынка», — говорится в сообщении.
«Защита массивных поверхностей атак представляет собой сложную задачу даже для самых надежных команд безопасности. Хотя эти компании должны постоянно поддерживать безупречную безопасность, злоумышленникам достаточно использовать только одну уязвимость в пределах своей обширной поверхности атаки», — предупреждается в отчете.
Группы программ-вымогателей, такие как LockBit, BlackCat и C10p, «систематически нацелены на сторонние уязвимости в больших масштабах», сообщает SecurityScorecard, а спонсируемые государством злоумышленники могут выявить уязвимости в течение пяти минут после подключения к устройству с выходом в Интернет.
McKinsey утверждает, что программы кибербезопасности организаций «настолько хороши, насколько хороша кибербезопасность их самого маленького поставщика». Организациям, работающим над снижением кибербезопасности цепочки поставок, рекомендуется:
- Определить единые точки отказа;
- Постоянно контролировать внешнюю поверхность атаки;
- Автоматически обнаруживать новых поставщиков;
- Внедрять управление кибербезопасностью поставщиков.
Чарли Льюис, партнер McKinsey, говорит: «Взаимосвязанный характер нашего цифрового ландшафта требует изменения в том, как компании думают о рисках своей киберэкосистемы – речь идет уже не только о вашей устойчивости; вам необходимо рассмотреть более широкую систему и то, как обеспечить взаимную поддержку с коллегами, конкурентами и вашими поставщиками».
Подготовлено порталом Allinsurance.kz