Страховые компании и другие компании, предоставляющие финансовые услуги, все больше зависят от сторонних администраторов, особенно в эпоху повышенных требований к бизнес-технологиям и ожиданий потребителей.
Проблема в том, что партнерство с третьей стороной часто требует обмена важной и конфиденциальной информацией. Слишком часто слабость кибербезопасности игнорируется, когда компании стремятся обеспечить сторонние деловые отношения.
«Чтобы оставаться на шаг впереди, упреждая киберриск, компаниям и руководителям необходимо совместно разрабатывать планы по обнаружению и снижению рисков, создаваемых сторонними организациями, которые поддерживают автоматизированные технологии и эффективное управление», - говорит Дов Голдман, вице-президент по инновациям и альянсам в области международного соответствия и управления рисками, компании Opus, основанной в ноябре 2018 года.
В конце прошлого года Opus объединился с Ponemon Institute в третьем ежегодном исследовании «Риск данных в сторонней экосистеме». В отчете установлено, что 59 % компаний-респондентов столкнулись с нарушением данных, вызванным третьей стороной или поставщиком.
Еще 22% респондентов заявили, что не знали, было ли на них оказано влияние в виде несанкционированного доступа к данным в течение прошлого года.
В ходе исследования Ponemon было опрошено более 1000 руководителей информационной безопасности из различных отраслей в США и Великобритании.
Лучшие практики
В исследование был включен анализ организаций, которым удалось избежать утечки данных от сторонних организаций за последние 12 месяцев (36%) или вообще (32%). Такие высокопроизводительные фирмы внедрили лучшие практики управления и ИТ-безопасности, которые были тесно связаны с уменьшением числа сторонних взломов данных.
Эти лучшие практики включали:
Оценка практики безопасности и конфиденциальности всех третьих лиц. Бдительные компании проводят регулярные аудиты и оценки безопасности и практики управления данными третьих сторон.
Ведение инвентаризации всех третьих лиц, с которыми они делятся информацией. Важно отслеживать все третьи стороны, которые имеют доступ к конфиденциальным данным, и узнать, сколько из этих сторон делятся этими данными с другими.
Частый пересмотр сторонних политик и программ управления. Идея состоит в том, чтобы внедрить формальные процессы для регулярной оценки практики обеспечения безопасности и конфиденциальности третьих сторон, особенно когда они связаны с новыми технологиями и инновациями, такими как устройства Интернета вещей.
Требование от третьих лиц предоставлять уведомление, когда данные передаются другим. Руководители обязали третьи стороны предоставлять информацию и прозрачность в отношениях с N-ой стороной до обмена конфиденциальными данными.
Советы директоров и руководители осуществляли надзор за рисками со стороны третьих лиц. Успех часто зависит от вовлечения высшего руководства и советов директоров в сторонние программы управления рисками. Внимание высокого уровня к сторонним рискам может увеличить бюджет, доступный для устранения этих угроз.
«В то время как руководители компаний понимают последствия взлома данных или кибератаки для их бизнеса, гораздо меньше знают об источниках атак и уязвимостях, которые должны быть устранены их организациями для обеспечения надлежащей защиты данных», - сказал доктор Ларри Понемон. «Учитывая взрывной рост приобретения внешних технологических услуг и увеличение количества сторонних партнерских компаний, компаниям необходимо взять под контроль их сторонние риски и внедрить меры защиты и процессы для снижения их уязвимости».
Проблема обостряется
Согласно отчету Hiscox о кибербезопасности за 2019 год, более половины (53%) американских компаний столкнулись с киберпреступностью за последний год . Почти половина из них (43%) имели более одного инцидента кибербезопасности в течение последнего года.
Исследование Ponemon Institute показало, что компании в США (61%) с большей вероятностью, чем британские, говорят, что они столкнулись с нарушением со стороны третьих лиц. Согласно отчету, это на 5% больше, чем в 2017 году, и на 12% больше, чем в 2016 году.
Более 75% всех респондентов заявили, что количество случаев взлома сторонних данных растет.
«Количество взломов данных растет», - сказал Ли Киршбаум, старший вице-президент и руководитель отдела продуктов, маркетинга и альянсов Opus. «Ситуация не становится лучше, она становится только хуже, особенно в США»
Только 16% респондентов заявили, что их компании «высокоэффективны в снижении сторонних рисков». Почти две трети компаний не ведут комплексный учет и мониторинг рисков третьих сторон. Большинство респондентов указали на отсутствие централизованного контроля, нехватку ресурсов и сложность взаимоотношений со сторонними организациями в качестве причины отсутствия комплексного учета.
Контроль сторонних нарушений
Менее половины всех компаний, опрошенных для третьего ежегодного исследования Ponemon Institute «Риск данных в сторонней экосистеме», которое проводилось совместно с Opus, глобальной компанией по контролю соблюдения и управлению рисками, заявили, что управление рисками сторонних отношений является эффективным и приоритетным в их организации.
Только 37% указали, что у них достаточно ресурсов для управления отношениями со сторонними организациями, и только 35% оценили свою стороннюю программу управления рисками как высокоэффективную. Более половины компаний не знают, достаточно ли средств защиты их организаций для предотвращения взлома.
«Сторонняя экосистема идеально подходит для хакеров, стремящихся проникнуть в организацию, и риск увеличивается только по мере того, как эти сети становятся все больше и сложнее», - сказал вице-президент Opus по инновациям и альянсам Дов Голдман.
Снижение риска
Большинство респондентов заявили, что управление в их компании сторонними рисками неэффективно или является приоритетом и, что у них нет достаточных ресурсов для управления этими отношениями, а также они не знают, делают ли их поставщики достаточно, чтобы предотвратить нарушение.
Некоторые компании, однако, были эффективными в предотвращении воздействия на них сторонних нарушений.
Исследование Ponemon выдвинуло на первый план тактику, которую эти организации использовали, чтобы оставаться защищенными. «Мне показалось, что так много компаний просто не применяют лучшие практики», - сказал Киршбаум. «Я не думаю, что это очевидно для рынка».
Подготовлено порталом Allinsurance.kz