Slabina v zabezpečení: Polovina organizací trpí kvůli nedostatkům u svých dodavatelů
Kybernetické útoky prostřednictvím prodejců nebo dodavatelů organizace jsou značně podhodnocené. Podle nového výzkumu Ponemon Institute a RiskRecon společnosti Mastercard si je pouze 34 % organizací jisto, že by je jejich dodavatelé informovali o narušení jejich citlivých informací.
Organizace jsou závislé na svých dodavatelích – třetích stranách, kteří jim poskytují důležité služby, jako jsou mzdy, vývoj softwaru nebo zpracování dat. Bez zavedení důkladných bezpečnostních kontrol však mohou dodavatelé, subdodavetelé, smluvní partneři nebo obchodní partneři vystavit organizace riziku narušení bezpečnosti údajů.
Nový výzkum Ponemon Institute a RiskRecon společnosti Mastercard ukázal, že narušení bezpečnosti dat třetích stran může být nedostatečně hlášeno, protože pouze 34 % organizací si je jisto, že by je jejich dodavatelé informovali o narušení bezpečnosti dat, které se týká jejich citlivých informací. Proto jsou nedostatečné bezpečnostní kontroly třetích stran pro podniky i nadále slabinou v bezpečnostní strategii. Celkem 59 % respondentů potvrdilo, že jejich organizace zažily únik dat způsobený některou z jejich třetích stran, přičemž 54 % z nich k němu došlo v posledních 12 měsících.
Problém se rozšiřuje i směrem dolů, protože 38 % organizací uvádí, že narušení bezpečnosti bylo způsobeno jednou z jejich „n-tých stran“, což poukazuje na nedostatky v bezpečnostních kontrolách třetích stran, které jsou zavedeny pro jejich dodavatele a partnery. V důsledku toho si je pouze 21 % organizací jisto, že by je jejich n-tá strana o narušení informovala.
Existuje několik osvědčených postupů, kterými by se organizace měly řídit, aby zmírnily kybernetická rizika třetích stran, přesto výzkum ukazuje, že je třeba vynaložit větší úsilí. Patří mezi ně vytvoření a vedení seznamu všech třetích stran a časté vyhodnocování jejich kontrolních mechanismů zabezpečení a ochrany osobních údajů. Bohužel výzkum zjistil, že pouze 36 % organizací tak činí při vstupu do vztahu, zatímco pouze 43 % tyto kontroly pravidelně přezkoumává.
Hlavními důvody, proč organizace tyto osvědčené postupy nedodržují, jsou nedostatečná odpovědnost a zapojení správních rad. Překvapivě pouze 18 % organizací uvádí, že odpovědnost nese CISO, zatímco 35 % uvádí, že kybernetická rizika třetích stran nejsou prioritou na úrovni představenstva.
Studie RiskRecon 2022 Data Risk in the Third-Party Ecosystem vychází z průzkumu mezi 1 162 IT a IT bezpečnostními profesionály v Severní Americe a západní Evropě, který provedl Ponemon Institute v období od 2. května do 30. června 2022.
Zdroj: VentureBeat.com