Podľa
prieskumu Gartner
zaznamenalo za posledné tri roky až 71 % podnikov zvýšenie počtu dodávateľov
v rámci svojej dodávateľskej siete. Rovnaké percento spoločností očakáva,
že ich počet bude rásť aj v nasledujúcich troch rokoch. Na to, aby si subdodávatelia
mohli plniť svoje pracovné povinnosti, im podniky často umožňujú prístup k
svojim citlivým dátam a IT aktívam.
Správa
Kaspersky zameraná na IT bezpečnosť z ekonomického pohľadu odhalila, že 79 %
podnikov má zavedené špeciálne pravidlá, ktoré vysvetľujú partnerom a dodávateľom,
ako pracovať so zdieľanými zdrojmi a dátami, pričom je tu zahrnutá aj
informácia o možných pokutách v prípade incidentov. Podľa prieskumu
dosahujú škody spôsobené rôznymi incidentmi odhadom v priemere hodnotu 2,57
milióna dolárov (približne 2,33 milióna eur), pričom únik údajov patrí medzi
tri najnákladnejšie problémy, ktorým podniky čelia. Experti Kaspersky odhalili
už viacero sofistikovaných útokov v dodávateľskom reťazci, vrátane hrozby ShadowPad. Jednou
z hlavných výhod implementácie pravidiel pre spoluprácu s tretími
stranami je definícia oblasti zodpovednosti pre obe zúčastnené strany. Vďaka
tomuto nastaveniu sa zvyšuje pravdepodobnosť, že podnik dostane kompenzáciu od
dodávateľa, ak sa on stane vstupným bodom pre útok. Až 71 % podnikov,
ktoré majú zavedené pravidlá pre spoluprácu s tretími stranami, získalo po
incidente od tretej strany finančnú kompenzáciu. Na porovnanie, pokiaľ išlo
o podniky bez akejkoľvek regulácie vzťahov, dostalo kompenzáciu len 22 %
z nich. Zavedenie takýchto pravidiel zvyšuje pravdepodobnosť kompenzácie aj v
segmente menších spoločností, kde kompenzáciu získalo 68 % firiem so
zavedenými pravidlami v porovnaní s 28 % firiem, ktoré ich so
svojimi subdodávateľmi zavedené nemali.
Z prieskumu
však nie je možné zistiť, či má zavedenie pravidiel zameraných na únik údajov
aj vplyv na zníženie počtu útokov cez dodávateľský reťazec. Takmer
štvrtina (24 %) podnikov, ktoré zaviedli osobitné IT pravidlá pre tretie
strany sa stala obeťou narušenia dát z dôvodu kyberbezpečnostného útoku na
dodávateľa, pričom z podnikov bez takýchto pravidiel, ktoré boli napadnuté cez
dodávateľa, potvrdilo narušenie dát iba 9 %. „Výsledky nášho prieskumu majú
nádych istého paradoxu, keď podniky so zavedenými osobitnými pravidlami
pre spoluprácu s tretími stranami zažívajú útoky cez dodávateľský reťazec častejšie.
Avšak, v tomto prípade je skôr logické, že podnik so širšou dodávateľskou sieťou
bude tejto oblasti venovať zvýšenú pozornosť, čo podnik vedie aj k implementácii
konkrétnych opatrení. A takisto veľká sieť subdodávateľov len zvyšuje
pravdepodobnosť možného narušenia alebo úniku dát. Okrem toho môžu podniky so
zavedenými pravidlami pre spoluprácu s tretími stranami presnejšie určiť
príčiny konkrétneho narušenia či úniku“, hovorí Miroslav Kořen. Európu.
Aby
boli podniky chránené pred útokmi prichádzajúcimi cez dodávateľský reťazec,
spoločnosť Kaspersky odporúča:
1. Pravidelne
aktualizujte zoznam všetkých partnerov a dodávateľov, ako aj údaje, ku
ktorým môžu mať prístup. Zároveň zabezpečte, aby mali prístup iba k tým
zdrojom, ktoré potrebujú na výkon svojej práce. Skontrolujte, či je firmám,
ktoré už nespolupracujú s vašou spoločnosťou, znemožnený prístup
a používanie vašich údajov a nástrojov.
2. Informujte
všetky tretie strany o vašich požiadavkách, ktoré by mali dodržiavať, vrátane
dodržiavania bezpečnostných postupov.
3. Vyberte
si riešenie, ktoré dokáže už v ranom štádiu odhaliť aj pokročilé útoky,
ktoré mohli obísť nasadené bezpečnostné riešenie spoločnosti, vrátane útokov prichádzajúcich
cez dodávateľský reťazec.
