По данным SecurityScorecard, почти все 100 крупнейших компаний Европы сообщили о взломе у одного из своих поставщиков в прошлом году. Компания заявила, что необходимо срочно усилить управление киберрисками, поскольку до вступления в силу Закона о цифровой операционной устойчивости Европы (DORA) остался всего месяц.
По результатам опроса SecurityScorecard, 98% европейских компаний во всех секторах столкнулись с нарушениями со стороны третьих лиц в своих цепочках поставок, в то время как только 18% сообщают о прямых нарушениях своих систем. SecurityScorecard утверждает, что результаты опроса выявили «значительные пробелы во внутренней защите».
Согласно исследованию, Франция регистрирует самый высокий уровень нарушений со стороны третьих и четвертых поставщиков — 98% и 100% соответственно. Напротив, 84% ближневосточных фирм зарегистрировали нарушения со стороны третьих лиц в прошлом году.
«100 крупнейших компаний Европы сталкиваются с неотложной проблемой кибербезопасности. Несмотря на высокие ставки, многие организации не имеют эффективных способов измерения своего риска, что фактически оставляет их уязвимыми и «летающими вслепую», — говорится в SecurityScorecard. «Крупнейшие организации Европы сталкиваются с растущими проблемами кибербезопасности, причем экосистемы третьих и четвертых сторон становятся основными точками уязвимости».
Райан Шерстобитофф, старший вице-президент по исследованию угроз и разведке в SecurityScorecard, говорит, что экосистема поставщиков «является весьма желанной целью для группировок, занимающихся программами-вымогателями». Он добавляет: «Правительства по всему миру намерены в 2025 году ужесточить правила безопасности, которые возлагают ответственность на организации и их поставщиков, требуя более высоких стандартов безопасности по всем направлениям, делая мониторинг и понимание недостатков компании необходимыми».
Рейтинговая система SecurityScorecard присваивает рейтинг A по киберустойчивости лишь 25% из 100 крупнейших компаний Европы (по рыночной капитализации). SecurityScorecard утверждает, что компании с рейтингом A в 13,8 раза реже сталкиваются с нарушениями по сравнению с компаниями с рейтингом F, и ни одна из европейских компаний с рейтингом A по кибербезопасности не столкнулась со нарушениями в прошлом году.
В то время как транспортный сектор признан наиболее безопасным, и ни одна компания не имеет рейтинга C или ниже, 75% компаний в энергетическом секторе имеют рейтинг C или ниже.
На региональном уровне самые высокие уровни рейтинга кибербезопасности зафиксированы в скандинавских компаниях: 20% получили рейтинг C или ниже, по сравнению с 41% в Италии, 40% во Франции, 34% в Германии и 24% в Великобритании.
Поскольку европейские финансовые компании готовятся к соблюдению требований DORA с 17 января 2025 года, SecurityScorecard сообщает, что все европейские финансовые компании, принявшие участие в исследовании, столкнулись с утечкой данных со стороны третьих лиц в прошлом году, а 33% из них получили рейтинг C или ниже.
«Уязвимости цепочек поставок остаются критической угрозой, поскольку злоумышленники используют эти слабые звенья для проникновения в глобальные сети. С такими правилами, как DORA, призванными изменить стандарты кибербезопасности, европейские компании должны отдать приоритет управлению рисками третьей стороны и использовать рейтинговые системы для защиты своих экосистем», - отмечает Шерстобитофф.
В отчете говорится: «Финансовым организациям, таким как банки, страховые компании и инвестиционные фирмы, необходимо будет обеспечить, чтобы европейский финансовый сектор был способен сохранять устойчивость в случае серьезных сбоев в работе третьих сторон».
SecurityScorecard рекомендует европейским фирмам отдать приоритет улучшению своей кибергигиены, чтобы исключить подверженность операционным сбоям и репутационным рискам. В частности, фирмам рекомендуется усилить безопасность приложений и сетей для защиты от растущего числа киберугроз. SecurityScorecard также предупреждает 41% компаний с рейтингом кибербезопасности C или ниже о необходимости предпринять более срочные меры, а
также напоминает о необходимости дополнительно заняться состоянием систем доменных имен, усилить безопасность всех конечных точек и установить частоту исправлений для систем, оборудования и программного обеспечения.
Подготовлено порталом Allinsurance.kz