piatok 31. januára 2020

Upozorňujeme: Aj subdodávatelia môžu byť bezpečnostným rizikom


Podľa prieskumu Gartner zaznamenalo za posledné tri roky až 71 % podnikov zvýšenie počtu dodávateľov v rámci svojej dodávateľskej siete. Rovnaké percento spoločností očakáva, že ich počet bude rásť aj v nasledujúcich troch rokoch. Na to, aby si subdodávatelia mohli plniť svoje pracovné povinnosti, im podniky často umožňujú prístup k svojim citlivým dátam a IT aktívam.

Správa Kaspersky zameraná na IT bezpečnosť z ekonomického pohľadu odhalila, že 79 % podnikov má zavedené špeciálne pravidlá, ktoré vysvetľujú partnerom a dodávateľom, ako pracovať so zdieľanými zdrojmi a dátami, pričom je tu zahrnutá aj informácia o možných pokutách v prípade incidentov. Podľa prieskumu dosahujú škody spôsobené rôznymi incidentmi odhadom v priemere hodnotu 2,57 milióna dolárov (približne 2,33 milióna eur), pričom únik údajov patrí medzi tri najnákladnejšie problémy, ktorým podniky čelia. Experti Kaspersky odhalili už viacero sofistikovaných útokov v dodávateľskom reťazci, vrátane hrozby ShadowPad. Jednou z hlavných výhod implementácie pravidiel pre spoluprácu s tretími stranami je definícia oblasti zodpovednosti pre obe zúčastnené strany. Vďaka tomuto nastaveniu sa zvyšuje pravdepodobnosť, že podnik dostane kompenzáciu od dodávateľa, ak sa on stane vstupným bodom pre útok. Až 71 % podnikov, ktoré majú zavedené pravidlá pre spoluprácu s tretími stranami, získalo po incidente od tretej strany finančnú kompenzáciu. Na porovnanie, pokiaľ išlo o podniky bez akejkoľvek regulácie vzťahov, dostalo kompenzáciu len 22 % z nich. Zavedenie takýchto pravidiel zvyšuje pravdepodobnosť kompenzácie aj v segmente menších spoločností, kde kompenzáciu získalo 68 % firiem so zavedenými pravidlami v porovnaní s 28 % firiem, ktoré ich so svojimi subdodávateľmi zavedené nemali.
  
Z prieskumu však nie je možné zistiť, či má zavedenie pravidiel zameraných na únik údajov aj vplyv na zníženie počtu útokov cez dodávateľský reťazec. Takmer štvrtina (24 %) podnikov, ktoré zaviedli osobitné IT pravidlá pre tretie strany sa stala obeťou narušenia dát z dôvodu kyberbezpečnostného útoku na dodávateľa, pričom z podnikov bez takýchto pravidiel, ktoré boli napadnuté cez dodávateľa, potvrdilo narušenie dát iba 9 %. „Výsledky nášho prieskumu majú nádych istého paradoxu, keď podniky so zavedenými osobitnými pravidlami pre spoluprácu s tretími stranami zažívajú útoky cez dodávateľský reťazec častejšie. Avšak, v tomto prípade je skôr logické, že podnik so širšou dodávateľskou sieťou bude tejto oblasti venovať zvýšenú pozornosť, čo podnik vedie aj k implementácii konkrétnych opatrení. A takisto veľká sieť subdodávateľov len zvyšuje pravdepodobnosť možného narušenia alebo úniku dát. Okrem toho môžu podniky so zavedenými pravidlami pre spoluprácu s tretími stranami presnejšie určiť príčiny konkrétneho narušenia či úniku“, hovorí Miroslav Kořen. Európu.

Aby boli podniky chránené pred útokmi prichádzajúcimi cez dodávateľský reťazec, spoločnosť Kaspersky odporúča:
1. Pravidelne aktualizujte zoznam všetkých partnerov a dodávateľov, ako aj údaje, ku ktorým môžu mať prístup. Zároveň zabezpečte, aby mali prístup iba k tým zdrojom, ktoré potrebujú na výkon svojej práce. Skontrolujte, či je firmám, ktoré už nespolupracujú s vašou spoločnosťou, znemožnený prístup a používanie vašich údajov a nástrojov.
2. Informujte všetky tretie strany o vašich požiadavkách, ktoré by mali dodržiavať, vrátane dodržiavania bezpečnostných postupov.
3. Vyberte si riešenie, ktoré dokáže už v ranom štádiu odhaliť aj pokročilé útoky, ktoré mohli obísť nasadené bezpečnostné riešenie spoločnosti, vrátane útokov prichádzajúcich cez dodávateľský reťazec.