Σχεδόν τα τρία τέταρτα (71%) των επιχειρήσεων που έχουν συγκεκριμένες οδηγίες χρήσης δεδομένων για συνεργάτες και υπεργολάβους έλαβαν αποζημίωση μετά από κάποιο περιστατικό που επηρέασε τους προμηθευτές με τους οποίους μοιράζονται πληροφορίες.

Συγκριτικά, μόνο το 22% των οργανισμών του ίδιου μεγέθους που δεν διαθέτουν κανονισμούς δήλωσαν ότι αντιμετώπισαν κάτι αντίστοιχο. Αυτά είναι τα ευρήματα έρευνας που πραγματοποίησε η Kaspersky και στην οποία συμμετείχαν υπεύθυνοι του τομέα της Πληροφορικής. 

Σύμφωνα με έρευνα της Gartner, το 71% των οργανισμών έχουν περισσότερους εξωτερικούς συνεργάτες στο δίκτυό τους από ό,τι πριν από τρία χρόνια – και το ίδιο ποσοστό αναμένει ότι ο αριθμός αυτός θα αυξηθεί τα επόμενα τρία χρόνια. Προκειμένου οι υπεργολάβοι να εκπληρώσουν τις υποχρεώσεις εργασίας τους, οι εταιρείες συχνά τους επιτρέπουν την πρόσβαση σε ευαίσθητά τους δεδομένα. 

Σύμφωνα με την έκθεση της Kaspersky’s IT Economics, το 79% των επιχειρήσεων εφαρμόζει ειδικές πολιτικές που εξηγούν στους εταίρους και τους προμηθευτές πώς να εργάζονται με κοινόχρηστους πόρους και δεδομένα, καθώς και τυχόν κυρώσεις που ενδέχεται να τους επιβληθούν. Οι ανησυχίες τους έχουν νόημα, καθώς, σύμφωνα με την έρευνα, οι ζημίες από τέτοια περιστατικά εκτιμάται ότι ανέρχονται κατά μέσο όρο στα 2,57 εκατομμύρια δολάρια, με τις παραβιάσεις δεδομένων να βρίσκονται μεταξύ των τριών πιο κοστοβόρων προβλημάτων που αντιμετωπίζουν οι επιχειρήσεις. Οι ερευνητές της Kaspersky ανακάλυψαν μια σειρά εξελιγμένων επιθέσεων εναντίον εφοδιαστικών αλυσίδων, όπως η ShadowPad. 

Ένα από τα κύρια οφέλη της εφαρμογής πολιτικών για υπεργολάβους είναι ότι επιλύουν θέματα σχετικά με τη λογοδοσία καθορίζοντας τους τομείς ευθύνης και για τους δύο εμπλεκόμενους οργανισμούς. Κατά συνέπεια, αυξάνουν τις πιθανότητες μια εταιρεία να πάρει αποζημίωση από έναν προμηθευτή που γίνεται σημείο εισόδου για μια επίθεση. Το 71% των επιχειρήσεων με κανονισμούς για εξωτερικούς συνεργάτες ανέφερε ότι έλαβε χρηματική αποζημίωση μετά από ένα περιστατικό, σε σύγκριση με μόνο το 22% των αντίστοιχων οργανισμών που δεν διέθεταν κανονισμούς. Οι κανονισμοί ενισχύουν επίσης την πιθανότητα αποζημίωσης και για τις ΜμΕ. Για παράδειγμα, το 68% των ΜμΕ με αντίστοιχους κανονισμούς έλαβαν χρήματα, σε σύγκριση με μόλις το 28% εκείνων που δεν εφάρμοσαν κανονισμούς για τους υπεργολάβους τους. 

Η έρευνα δεν έδειξε εάν οι πολιτικές παραβίασης των δεδομένων καθιστούν τις επιθέσεις εφοδιαστικής αλυσίδας λιγότερο συχνές. Σχεδόν το ένα τέταρτο (24%) των επιχειρήσεων που εφάρμοσαν ειδικές πολιτικές πληροφορικής για τρίτους αντιμετώπισαν παραβίαση δεδομένων εξαιτίας ενός περιστατικού στον κυβερνοχώρο που επηρεάζει τους προμηθευτές και μόλις το 9% των εταιρειών χωρίς τέτοιους κανόνες επιβεβαίωσαν ότι είχαν υποστεί επίθεση.  

«Τα αποτελέσματα της έρευνάς μας μπορεί να φαίνονται μάλλον παράδοξα με επιχειρήσεις που εφαρμόζουν ειδικές πολιτικές να δηλώνουν ότι έχουν αντιμετωπίσει επιθέσεις σε εφοδιαστική αλυσίδα πιο συχνά. Ωστόσο, μπορούμε να προτείνουμε μια επιχείρηση με ευρύτερο δίκτυο οργανισμών τρίτων να δώσει μεγαλύτερη προσοχή σε αυτόν τον τομέα, γεγονός που έχει ως αποτέλεσμα την εφαρμογή συγκεκριμένων κατευθυντήριων γραμμών. Παρόλα αυτά, ένα τεράστιο δίκτυο υπεργολάβων μπορεί να καταστήσει πιο πιθανή την παραβίαση τέτοιων δεδομένων. Εκτός αυτού, οι οργανισμοί με πολιτικές τρίτων μπορούν να καθορίσουν με μεγαλύτερη ακρίβεια τα αίτια μιας συγκεκριμένης παραβίασης», σχολιάζει ο Sergey Martsynkyan, Head of B2B Product Marketing στην Kaspersky.

Για να παραμείνετε προστατευμένοι από επιθέσεις στην εφοδιαστική αλυσίδα, η Kaspersky συνιστά να λάβετε τα ακόλουθα μέτρα ασφαλείας: 

  1. Ενημερώνετε τακτικά τη λίστα όλων των συνεργατών και προμηθευτών σας, καθώς και τα δεδομένα στα οποία μπορούν να έχουν πρόσβαση. Βεβαιωθείτε ότι έχουν πρόσβαση μόνο στους πόρους που χρειάζονται για την εκτέλεση των εργασιών τους. Επιβεβαιώστε ότι οι οργανισμοί που δεν συνεργάζονται με την εταιρεία σας αποκλείονται και δεν μπορούν να έχουν πρόσβαση ή να χρησιμοποιήσουν δεδομένα και στοιχεία ενεργητικού. 
  2. Παρέχετε σε όλους τους τρίτους συνεργάτες τα προαπαιτούμενα που πρέπει να τηρούν – συμπεριλαμβανομένων των πρακτικών συμμόρφωσης και ασφάλειας.
  3. Η Kaspersky προσφέρει την πλατφόρμα Kaspersky Anti Targeted Attack, η οποία μπορεί να ανιχνεύσει σύνθετες επιθέσεις που μπορεί να μην έχουν γίνει αντιληπτές από τις λύσεις προστασίας, συμπεριλαμβανομένων των επιθέσεων στην εφοδιαστική αλυσίδα, σε πρώιμο στάδιο 

Εδώ μπορείτε να διαβάσετε την πλήρη έκθεση.