Takmer tri štvrtiny podnikov (71 %), ktoré majú s obchodnými partnermi a dodávateľmi nastavené osobitné pravidlá zamerané na narábanie s dátami, obdržalo kompenzáciu po incidente, ak nastal na strane dodávateľa, s ktorým zdieľali informácie. V prípade porovnateľných podnikov bez zavedených pravidiel sa jednalo len o 22 %. Na tieto zistenia poukázal prieskum spoločnosti Kaspersky realizovaný medzi lídrami a odborníkmi v oblasti IT bezpečnosti.
Podľa prieskumu spoločnosti Gartner zaznamenalo za posledné tri roky až 71 % podnikov zvýšenie počtu dodávateľov v rámci svojej dodávateľskej siete. Rovnaké percento spoločností očakáva, že ich počet bude rásť aj v nasledujúcich troch rokoch. Na to, aby si subdodávatelia mohli plniť svoje pracovné povinnosti, im podniky často umožňujú prístup k svojim citlivým dátam a IT aktívam.
Správa spoločnosti Kaspersky, ktorá sa pozrela na IT bezpečnosť z ekonomického pohľadu, odhalila, že 79 % podnikov má zavedené špeciálne pravidlá, ktoré vysvetľujú partnerom a dodávateľom, ako pracovať so zdieľanými zdrojmi a dátami, pričom je tu zahrnutá aj informácia o možných pokutách, ktoré môžu byť v prípade incidentov aplikované. Ich obavy sú opodstatnené, z prieskumu totiž vyplýva, že škody spôsobené rôznymi incidentmi dosahujú odhadom v priemere hodnotu 2,57 milióna dolárov (približne 2,33 milióna eur), pričom únik údajov patrí medzi tri najnákladnejšie problémy, ktorým podniky čelia. Experti spoločnosti Kaspersky odhalili už viacero sofistikovaných útokov v dodávateľskom reťazci, vrátane hrozby ShadowPad.
Jednou z hlavných výhod implementácie pravidiel pre spoluprácu s tretími stranami je to, že definuje oblasti zodpovednosti pre obe zúčastnené strany. Vďaka tomuto nastaveniu sa zvyšuje pravdepodobnosť, že podnik dostane kompenzáciu od dodávateľa, ak sa on stane vstupným bodom pre útok. 71 % podnikov, ktoré majú zavedené pravidlá pre spoluprácu s tretími stranami, uviedlo, že po incidente dostalo od tretej strany finančnú kompenzáciu. Pre porovnanie, pokiaľ išlo o podniky bez akejkoľvek regulácie vzťahov, dostalo kompenzáciu len 22 % z nich. Zavedenie takýchto pravidiel zvyšuje pravdepodobnosť kompenzácie aj v segmente menších spoločností, kde kompenzáciu získalo 68 % firiem so zavedenými pravidlami, v porovnaní s 28 % firiem, ktoré ich so svojimi subdodávateľmi zavedené nemali.
Z prieskumu však nie je možné zistiť, či má zavedenie pravidiel zameraných na únik údajov aj vplyv na zníženie počtu útokov cez dodávateľský reťazec. Takmer štvrtina (24 %) podnikov, ktoré zaviedli osobitné IT pravidlá pre tretie strany sa stala obeťou narušenia dát z dôvodu kyberbezpečnostného útoku na dodávateľa, pričom z podnikov bez takýchto pravidiel, ktoré boli napadnuté cez dodávateľa, potvrdilo narušenie dát iba 9 %.
„Výsledky nášho prieskumu majú nádych istého paradoxu, keď podniky so zavedenými osobitnými pravidlami pre spoluprácu s tretími stranami zažívajú útoky cez dodávateľský reťazec častejšie. Avšak, v tomto prípade je skôr logické, že podnik so širšou dodávateľskou sieťou bude tejto oblasti venovať zvýšenú pozornosť, čo podnik vedie aj k implementácii konkrétnych opatrení. A takisto veľká sieť subdodávateľov len zvyšuje pravdepodobnosť možného narušenia alebo úniku dát. Okrem toho môžu podniky so zavedenými pravidlami pre spoluprácu s tretími stranami presnejšie určiť príčiny konkrétneho narušenia či úniku,“ hovorí Miroslav Kořen, generálny riaditeľ spoločnosti Kaspersky pre východnú Európu.
Aby boli podniky chránené pred útokmi prichádzajúcimi cez dodávateľský reťazec, spoločnosť Kaspersky odporúča:
- Pravidelne aktualizujte zoznam všetkých partnerov a dodávateľov, ako aj údaje, ku ktorým môžu mať prístup. Zároveň zabezpečte, aby mali prístup iba k tým zdrojom, ktoré potrebujú na výkon svojej práce. Skontrolujte, či je firmám, ktoré už nespolupracujú s vašou spoločnosťou, znemožnený prístup a používanie vašich údajov a nástrojov.
- Informujte všetky tretie strany o vašich požiadavkách, ktoré by mali dodržiavať, vrátane dodržiavania bezpečnostných postupov.
- Spoločnosť Kaspersky ponúka riešenie Kaspersky Anti Targeted Attack, ktoré dokáže už v ranom štádiu odhaliť aj pokročilé útoky, ktoré mohli obísť nasadené bezpečnostné riešenie spoločnosti, vrátane útokov prichádzajúcich cez dodávateľský reťazec.