A partnerekre és alvállalkozókra vonatkozó konkrét adathasználati irányelvekkel rendelkező nagyvállalatok csaknem háromnegyede (71%-a) kapott kártérítést olyan szállítókat érintő incidens után, akikkel adatokat osztanak meg. Ezzel szemben a szabályzatokkal nem rendelkező ugyanilyen méretű vállalatoknak csak 22%-a számolt be ugyanerről. A fenti megállapítások a Kaspersky informatikai biztonsági vezetőket vizsgáló felméréséből származnak.
A Gartner kutatása szerint a szervezetek 71%-a ma már több partnerrel dolgozik együtt, mint három évvel ezelőtt, és ugyanennyien számítanak arra, hogy partnereik száma a következő három évben még tovább nő. Hogy az alvállalkozók teljesíteni tudják a munkavégzési kötelezettségeiket, a cégek sokszor hozzáférést biztosítanak számukra az érzékeny adataikhoz és az informatikai eszközeikhez.
A Kaspersky informatikai biztonság gazdaságtanával foglalkozó jelentése megállapította, hogy a nagyvállalatok 79%-a rendelkezik olyan speciális irányelvekkel, amelyek meghatározzák, hogyan használhatják a partnerek és a szállítók a megosztott erőforrásokat és adatokat, valamint, hogy milyen szankciókra számíthatnak. Az aggályaik teljesen indokoltak, hiszen a felmérés szerint az incidensekből származó károk becsült költsége átlagosan 2,57 millió dollárra tehető, és az adatsérülések a három legköltségesebb probléma egyike közé sorolhatók a nagyvállalatok életében. A Kaspersky kutatói az ellátási láncot érő több kifinomult támadást is felfedeztek, ezek közül az egyik a ShadowPad.
A harmadik felekre vonatkozó irányelvek egyik fő előnye, hogy megoldást jelentenek az elszámoltathatósággal kapcsolatos problémákra, ugyanis mindkét érintett szervezetre vonatkozóan meghatározzák a felelősségi köröket. Ennek következtében megnő az esélye annak, hogy a vállalat kártérítést kapjon a szállítótól, ha rajta keresztül érte támadás a vállalat rendszerét. A harmadik felekre vonatkozó irányelvekkel rendelkező nagyvállalatok 71%-a mondta azt, hogy egy incidens után anyagi kártérítést kapott, ezzel szemben a szabályzatokkal nem rendelkező hasonló méretű vállalatoknak csak 22%-a számolt be ugyanerről. Az irányelvek megléte a KKV-k körében is növeli a kártérítés valószínűségét. Az irányelvekkel rendelkező KKV-k 68%-a kapott ugyanis kártérítést, míg azok közül, akik nem dolgoztak ki szabályzatokat az alvállalkozóik számára, csak 28% mondhatta el ugyanezt.
A felmérésből az nem derül ki, hogy az adatsérülésekre vonatkozó szabályzatoknak köszönhetően csökkent-e az ellátási láncot érintő támadások gyakorisága. A harmadik felekre vonatkozó speciális informatikai irányelvekkel rendelkező nagyvállalatok csaknem egynegyede (24%-a) szenvedett el adatsérülést a szállítókat érintő kiberbiztonsági incidens miatt, és az ilyen szabályzatokkal nem rendelkező vállalatoknak mindössze kilenc százaléka erősítette meg, hogy támadás áldozata lett.
"A felmérésünk eredménye elég ellentmondásosnak tűnhet, hiszen úgy látszik, mintha a speciális irányelvekkel rendelkező nagyvállalatok gyakrabban szenvednének el ellátási láncot érő támadásokat. Elmondhatjuk azonban, hogy egy szélesebb körű külsős hálózattal rendelkező vállalkozás nagyobb figyelmet fordít erre a területre, és ennek eredményeképpen specifikus irányelveket dolgoz ki. Az óriási alvállalkozói hálózat miatt azonban még így is nagyobb az adatsérülések valószínűsége. A harmadik felekre vonatkozó irányelvekkel rendelkező szervezetek továbbá egy adott incidens okát is pontosabban meg tudják határozni" - mondta Szergej Martsynkyan, a Kaspersky Lab B2B Termékmarketing vezetője.
A Kaspersky a következő biztonsági intézkedéseket javasolja az ellátási láncot érő támadások elleni védelemhez:
- 1.Rendszeresen frissítse a partnerek és a szállítók listáját, valamint az adatokat is, amelyekhez hozzáférhetnek. Ügyeljen arra, hogy csak azokhoz az forrásokhoz férhessenek hozzá, amelyek a munkavégzésükhöz szükségesek. Ellenőrizze, hogy azok a szervezetek, amelyek nem a vállalat együttműködő partnerei, ne férhessenek hozzá és ne használhassák az adatokat és eszközöket.
- 2.Minden harmadik fél számára határozza meg a betartandó követelményeket, így többek között a megfelelőségi és a biztonsági gyakorlatokat.