По оценкам специалистов по кибербезопасности Juniper Research, стоимость кибератак на бизнес в цепочке поставок программного обеспечения может превысить $80,6 млрд к 2026 году, что на 76% больше по сравнению с $45,3 млрд в 2023 году.
Публикуя новое исследование, Juniper утверждает, что необходимо изменить парадигму кибербезопасности, чтобы смягчить «ошеломляющие» затраты и риски, поскольку цепочки поставок становятся все более цифровыми.
«Объем того, что считается цепочкой поставок — и способы ее защиты от кибератак — необходимо не только пересмотреть, но и расширить», — говорит Juniper.
Компания предупреждает, что цепочки поставок программного обеспечения уязвимы для атак из-за отсутствия процессов безопасности и возрастающей сложности: «Для устранения этих рисков необходимы сдвиги в более широких процессах кибербезопасности и образ мышления в отношении управления цепочкой поставок программного обеспечения». Компания добавляет, что необходимо уделять больше внимания программным элементам цепочек поставок как критической уязвимости безопасности.
«В течение многих лет цепочка поставок программного обеспечения игнорировалась как источник риска, что привело к ситуации, когда организации сталкиваются с серьезными проблемами, если они не могут изменить способ своей работы», — говорит Ник Мейнард, руководитель отдела исследований Juniper Research. «По мере того, как цепочки поставок программного обеспечения становятся все более сложными, проблема становится экспоненциально более сложной, требуя немедленного внимания для решения с помощью правил, SBOM (программных спецификаций), встроенных решений в области безопасности и кибербезопасности».
Комментируя отчет, производитель систем безопасности Blackberry заявил, что безопасность цепочки поставок программного обеспечения должна быть принята во всех отраслях. Juniper выделяет финансовые услуги, правительство, автомобилестроение и здравоохранение как секторы с высоким риском.
Чтобы защитить цепочки поставок программного обеспечения от кибератак, Juniper рекомендует компаниям и правительствам:
- Принять конкретное решение о том, как выглядит надежная система безопасности, включая количественные показатели и интерпретацию необходимых стандартов.
- Предоставить полный отчет об управлении обновлениями программного обеспечения для любых продуктов, проверяя каждый шаг процесса на отсутствие несанкционированного доступа и из аутентифицированного источника, что можно сделать с помощью SBOM.
- Убедиться, что у поставщиков и сторонних обработчиков данных есть безопасные методы обработки данных, чтобы организации не были скомпрометированы небезопасными методами поставщика, в том числе убедиттся, что сторонние системы хранения данных правильно зашифрованы, исправлены и имеют надежные процедуры аутентификации.
- Повысить осведомленность руководителей о том, что цепочка поставок компании касается не только происхождения физических товаров, но и того, где и как управляются программные и аппаратные системы, используемые для производства конечных продуктов.
- Рассматривать кибербезопасность как компонент безопасности, полностью осознавая, что вопросы кибербезопасности так же важны, как и вопросы физической безопасности.
«Последствия кибератак в цепочке поставок — от прекращения операций до штрафов, налагаемых за утечку данных, или передачи рисков клиентам путем поставки товаров, зараженных цифровыми данными, — требуют особого внимания к кибербезопасности цепочки поставок как жизненно важному компоненту ведения бизнеса, а не как к дополнительной опции», — говорится в отчете.
Подготовлено порталом Allinsurance.kz