Согласно опросу, опубликованному в понедельник ИСАКАассоциация ИТ-специалистов, насчитывающая 140 000 членов в 180 странах.
Опрос, основанный на ответах более 1300 ИТ-специалистов, имеющих представление о цепочках поставок, показал, что почти три четверти респондентов (73%) заявили, что программы-вымогатели являются основной проблемой при рассмотрении рисков цепочки поставок для их организаций.
К другим ключевым проблемам относятся плохая практика информационной безопасности поставщиков (66%), уязвимости безопасности программного обеспечения (65%), стороннее хранилище данных (61%) и сторонние поставщики услуг или поставщики, имеющие физический или виртуальный доступ к информационным системам, программному обеспечению. код или IP (55%).
Повышенное беспокойство по поводу программ-вымогателей может быть связано с тем, что они могут нанести двойной удар по организации.
«Во-первых, существует риск того, что злоумышленник обнаружит путь атаки в организацию от скомпрометированного поставщика или зависимости программного обеспечения, как мы видели в атаках SolarWinds и Kaseya, которые затронули огромное количество последующих жертв через эту цепочку поставок», — пояснил Крис. Клементс, вице-президент по архитектуре решений в Цербер Стражконсалтинговая компания по кибербезопасности и тестированию на проникновение в Скоттсдейле, штат Аризона.
«Кроме того, есть вторичные эффекты, — продолжил он, — когда банда вымогателей может украсть данные, хранящиеся у стороннего поставщика, и попытаться вымогать деньги у обеих организаций, угрожая публично раскрыть их, если выкуп не будет уплачен».
«Другая сторона медали заключается в том, что атака программы-вымогателя на цепочку поставок организации может привести к значительным сбоям в работе, если третья сторона, от которой она зависит, не сможет предоставлять услуги из-за кибератаки», — сказал он TechNewsWorld.
Лидер Невежество
Эти атаки на цепочку поставок программного обеспечения могут иметь волновой эффект на физическую цепочку поставок. «Программы-вымогатели вызывают серьезные сбои в уже облагаемой налогом цепочке поставок, когда системы, управляющие производством и распределением товаров и услуг, отключаются», — заметил Эрих Крон, защитник безопасности для ЗнайБе4организатор обучения по вопросам безопасности в Клируотере, штат Флорида.
«Это может повлиять на заказ и отслеживание запасов материалов, необходимых для изготовления предметов, повлиять на отслеживание статуса предметов, необходимых для выполнения заказов, и может создать логистические проблемы с доставкой материалов клиентам, создавая дефицит для их клиентов», — сказал он TechNewsWorld.
«В мире, где заказы выполняются точно в срок, любые задержки могут распространяться по всей цепочке поставок, затрагивая все больше и больше людей», — добавил он.
Почти треть опрошенных ИТ-специалистов (30%) заявили, что руководители их организаций не имеют достаточного представления о рисках цепочки поставок. «Тот факт, что это всего 30%, несколько обнадеживает», — сказал TechNewsWorld директор совета директоров ISACA Роб Клайд. «Несколько лет назад это число было бы намного выше».
«Я думаю, что большая часть невежества происходит из-за того, что мы просто сильно недооцениваем количество зависимостей и их важность для операций организации», — сказал Клементс.
«Эти сторонние инструменты по своей природе часто требуют прав администратора для многих, если не для всех устройств клиента, с которыми они взаимодействуют, а это означает, что компрометации только одного из этих поставщиков может быть достаточно, чтобы полностью скомпрометировать среду их клиента».
«Точно так же часто не знают, насколько многие организации зависят от сторонних поставщиков, — продолжил он. платформа должна была иметь длительный простой».
Пессимистическая вена
Даже в ситуациях, когда руководители понимают риски для своей цепочки поставок, они не ошибутся в плане безопасности. «В ситуациях, когда компаниям приходится выбирать между безопасностью и ростом, вы каждый раз будете видеть, как они выбирают рост», — заметил Кейси Биссон, руководитель отдела по связям с разработчиками и продуктами компании BluBracketкомпания, предоставляющая услуги в области кибербезопасности, в Менло-Парке, Калифорния.
«Это происходит с риском для их клиентов. Это связано с риском для самой компании», — сказал он TechNewsWorld. «Но все чаще мы начинаем видеть, что руководители несут ответственность за этот выбор».
Опрос ISACA также выявил сильный пессимизм среди ИТ-специалистов в отношении перспектив безопасности их цепочек поставок. Только 44% заявили, что они полностью уверены в безопасности цепочки поставок своей организации, в то время как 53% ожидают, что проблемы с цепочкой поставок останутся прежними или усугубятся в течение следующих шести месяцев.
: ISACA | Понимание пробелов в безопасности цепочки поставок | Отчет о глобальных исследованиях за 2022 г.
Одним из наиболее удивительных результатов исследования стало то, что 25% организаций заявили, что они сталкивались с атаками на цепочку поставок за последние 12 месяцев. «Я не думал, что она будет настолько высокой, — сказал Клайд.
«Несмотря на то, что за последние 12 месяцев многие организации подверглись кибератакам, я не думал, что так много людей будут связывать это с проблемой цепочки поставок. Если бы мы задали этот вопрос несколько лет назад, это было бы очень мало», — добавил он.
Между тем, более восьми из 10 технических экспертов (83%) заявили, что их цепочкам поставок необходимо более эффективное управление, чем то, что у них есть сейчас.
«То, как мы сегодня пытаемся сертифицировать партнеров по цепочке поставок, просто не работает», — утверждает Эндрю Хэй, главный операционный директор ларыконсалтинговая фирма по информационной безопасности в Денвере.
«Мы либо генерируем произвольную оценку на основе данных внешнего сканирования и достоверности на основе IP, либо пытаемся заставить их заполнить 100 или более вопросов в электронной таблице», — сказал он TechNewsWorld. «Ни то, ни другое точно не отражает, насколько безопасна организация».
Необходим аудит
Майк Паркин, старший технический инженер Вулкан Киберпоставщик SaaS для устранения корпоративных киберрисков в Тель-Авиве, Израиль, отметил, что существует множество факторов, которые вступают в игру при попытке защитить цепочку поставок.
«Организации всегда имеют полную информацию только о своей среде, а это означает, что они должны быть уверены, что их поставщики следуют передовым методам», — сказал он TechNewsWorld. «Это означает, что им необходимо учитывать непредвиденные обстоятельства на случай взлома стороннего поставщика или создать процесс, который серьезно ограничивает ущерб, который может произойти, если это произойдет».
«Это еще более сложно, когда организации приходится иметь дело с несколькими поставщиками, чтобы компенсировать нехватку или сбои», — продолжил он. «Даже с правильными инструментами управления рисками может быть трудно учесть все в игре».
Крон добавил, что должно быть определенное доверие к поставщикам; однако, если управление усиливается, чтобы подтверждать то, что говорят нам организации, а не просто доверять ответам из анкеты, необходимо внедрить систему аудита.
«Это неизбежно приведет к увеличению затрат, и многие организации прилагают все усилия, чтобы сохранить их как можно ниже, чтобы оставаться конкурентоспособными», — сказал он.
«Хотя это может быть легче оправдать для критически важных правительственных или военных систем, это может быть трудно продать традиционным поставщикам», — сказал он. «Чтобы добавить к проблемам, обеспечение соблюдения правил в отношении иностранных поставщиков товаров и материалов может быть трудным или невозможным. Это непростая задача, и она еще некоторое время будет предметом обсуждения».
