Według ankiety opublikowanej w poniedziałek przez ISACA , oprogramowanie ransomware jest największym ryzykiem w łańcuchu dostaw, z jakim borykają się obecnie organizacje , stowarzyszenie zrzeszające specjalistów IT zrzeszające 1
0 000 członków w 180 krajach, oprogramowanie ransomware to obecnie największe ryzyko w łańcuchu dostaw, z jakim borykają się organizacje.
Ankieta, oparta na odpowiedziach ponad 1300 specjalistów IT z analizą łańcucha dostaw, wykazała, że prawie trzy czwarte respondentów (73%) stwierdziło, że oprogramowanie ransomware było kluczowym problemem przy rozważaniu zagrożeń związanych z łańcuchem dostaw dla ich organizacji. Inne kluczowe obawy dotyczyły słabych praktyk w zakresie bezpieczeństwa informacji stosowanych przez dostawców (66%), luk w zabezpieczeniach oprogramowania (65%), przechowywania danych stron trzecich (61%) oraz zewnętrznych dostawców usług lub dostawców z fizycznym lub wirtualnym dostępem do systemów informatycznych, oprogramowania kod lub adres IP (55%).
Zwiększone zaniepokojenie oprogramowaniem ransomware może wynikać z tego, że może to mieć podwójne obciążenie dla organizacji. „Po pierwsze, istnieje ryzyko, że atakujący znajdzie ścieżkę ataku do organizacji ze strony zaatakowanego dostawcy lub zależności oprogramowania, jak widzieliśmy w przypadku ataków SolarWinds i Kaseya, które dotknęły ogromną liczbę dalszych ofiar za pośrednictwem tego łańcucha dostaw” – wyjaśnił Chris Clements, wiceprezes ds. architektury rozwiązań w Cerberus Sentinel , firmie zajmującej się doradztwem w zakresie cyberbezpieczeństwa i testami penetracyjnymi w Scottsdale w stanie Arizona. „Wtedy pojawiają się efekty wtórne”, kontynuował, „gdzie gang oprogramowania ransomware może kraść dane przechowywane u zewnętrznego dostawcy i próbować wyłudzić obie organizacje, grożąc, że udostępni je publicznie, jeśli okup nie zostanie zapłacony”.
„Drugą stroną medalu jest to, że atak ransomware na łańcuch dostaw organizacji może spowodować znaczne zakłócenia operacyjne, jeśli strona trzecia, od której zależy, nie jest w stanie świadczyć usług z powodu cyberataku” – powiedział TechNewsWorld. Niewiedza lidera Te ataki na łańcuch dostaw oprogramowania mogą mieć wpływ na fizyczny łańcuch dostaw. „Ransomware przyczynia się do znaczących zakłóceń w już opodatkowanym łańcuchu dostaw, gdy systemy zarządzające produkcją i dystrybucją towarów i usług są odłączane od sieci” — zauważył Erich Kron, rzecznik świadomości bezpieczeństwa w KnowBe, dostawcy szkoleń w zakresie świadomości bezpieczeństwa w Clearwater na Florydzie.
„Może to wpłynąć na zamawianie i śledzenie zapasów materiałów potrzebnych do wytworzenia przedmiotów, wpłynąć na śledzenie statusu przedmiotów potrzebnych do realizacji zamówień i może stworzyć problemy logistyczne z dostarczaniem materiałów do klientów, tworząc niedobory dla ich klientów”, powiedział TechNewsWorld. „W świecie realizacji zamówień na czas wszelkie opóźnienia mogą spływać kaskadą w dół łańcucha dostaw, wpływając na coraz większą liczbę osób po drodze” – dodał. Prawie jedna trzecia ankietowanych specjalistów IT (30%) ujawniła, że liderzy w ich organizacjach nie mieli wystarczającej wiedzy na temat ryzyka łańcucha dostaw. „Fakt, że było to tylko 30%, był nieco zachęcający” – powiedział dla TechNewsWorld dyrektor zarządu ISACA, Rob Clyde. „Kilka lat temu ta liczba byłaby znacznie wyższa”. „Myślę, że duża część ignorancji wynika z po prostu ogromnego niedoceniania liczby zależności i ich krytyczności dla operacji organizacji” — powiedział Clements. „Te narzędzia innych firm, ze względu na swój charakter, często wymagają uprawnień administracyjnych do wielu, jeśli nie wszystkich urządzeń klienta, z którymi wchodzą w interakcję, co oznacza, że kompromis tylko jednego z tych dostawców może wystarczyć, aby całkowicie narazić na szwank również środowiska klienta”.
„Podobnie często nie wiemy, jak wiele organizacji zależy od dostawców zewnętrznych”, kontynuował, „Większość znanych mi organizacji nie ma gotowego planu awaryjnego, jeśli główny dostawca, taki jak ich komunikacja e-mail platforma miała mieć dłuższą awarię.” Żyła pesymistyczna Nawet w sytuacjach, w których liderzy rozumieją zagrożenia dla swojego łańcucha dostaw, nie popełnią błędu po stronie bezpieczeństwa. „W sytuacjach, w których firmy muszą wybierać między bezpieczeństwem a rozwojem, za każdym razem zobaczysz, jak wybierają rozwój” – zauważył Casey Bisson, szef ds. relacji produktowych i deweloperskich w BluBracket , firmie świadczącej usługi cyberbezpieczeństwa w Menlo Park w Kalifornii. „To jest ryzykowne dla ich klientów. Jest to ryzykowne dla samej firmy” – powiedział TechNewsWorld. „Ale coraz częściej zaczynamy widzieć, jak dyrektorzy są odpowiedzialni za te wybory”. Ankieta ISACA wykazała również silny pesymizm wśród specjalistów IT na temat perspektyw bezpieczeństwa ich łańcuchów dostaw.
Tylko 4% wskazało, że ma duże zaufanie do bezpieczeństwa łańcucha dostaw swojej organizacji, podczas gdy 53% oczekuje, że problemy z łańcuchem dostaw pozostaną takie same lub pogorszą się w ciągu najbliższych sześciu miesięcy. Jednym z bardziej zaskakujących wyników ankiety było to, że 25% organizacji przyznało, że doświadczyło ataku w łańcuchu dostaw w ciągu ostatnich 12 miesięcy. „Nie sądziłem, że będzie tak wysoko” — powiedział Clyde. „Podczas gdy wiele organizacji doświadczyło cyberataków w ciągu ostatnich 12 miesięcy, nie sądziłem, że tak wiele osób przypisuje to problemowi łańcucha dostaw. Gdybyśmy zadali to pytanie kilka lat temu, byłaby to bardzo mała liczba” – dodał. Tymczasem ponad ośmiu na 10 ekspertów ds. technologii (84%) stwierdziło, że ich łańcuchy dostaw wymagają lepszego zarządzania niż to, co mają obecnie.
„Sposób, w jaki staramy się dziś certyfikować partnerów w łańcuchu dostaw, po prostu nie działa” — twierdzi Andrew Hay, COO firmy Lares , firmy konsultingowej zajmującej się bezpieczeństwem informacji w Denver. „Albo generujemy arbitralny wynik na podstawie zewnętrznych danych ze skanowania i zaufania opartego na IP, albo próbujemy zmusić ich do wypełnienia 100 lub więcej pytań w arkuszu kalkulacyjnym” – powiedział TechNewsWorld. „Żadne z nich nie oddaje dokładnie, jak bezpieczna jest organizacja”. Potrzebny audyt Mike Parkin, starszy inżynier techniczny w firmie Vulcan Cyber , dostawcy SaaS do naprawy zagrożeń cybernetycznych w przedsiębiorstwach w Tel Awiwie w Izraelu, zauważył, że istnieje wiele czynników, które mają wpływ na zabezpieczenie łańcucha dostaw. „Organizacje mają tylko pełny wgląd we własne środowisko, co oznacza, że muszą ufać, że ich dostawcy postępują zgodnie z najlepszymi praktykami”, powiedział TechNewsWorld.
„Oznacza to, że muszą uwzględnić sytuacje awaryjne, gdy dostawca zewnętrzny zostanie naruszony lub zbudować proces, który poważnie ogranicza szkody, które mogą wystąpić, jeśli tak się stanie”. „To jeszcze bardziej skomplikowane, gdy organizacja musi współpracować z wieloma dostawcami, aby zrekompensować braki lub zakłócenia” – kontynuował. „Nawet przy właściwych narzędziach do zarządzania ryzykiem może być trudno rozliczyć wszystko, co jest w grze”. Kron dodał, że musi być pewne zaufanie do dostawców; Jednak jeśli zarządzanie zostanie zwiększone, aby potwierdzić to, co mówią nam organizacje, w przeciwieństwie do ufania odpowiedziom z kwestionariusza, należy wprowadzić system audytu.
„To nieuchronnie zwiększy koszty, co wiele organizacji ciężko pracuje, aby utrzymać je na jak najniższym poziomie, aby zachować konkurencyjność” – powiedział.
„Chociaż może to być łatwiejsze do uzasadnienia w przypadku krytycznych systemów rządowych lub wojskowych, może to być trudne do sprzedania dla tradycyjnych dostawców” – utrzymywał. „Aby dodać do wyzwań, egzekwowanie zarządzania zagranicznymi dostawcami towarów i materiałów może być trudne lub niemożliwe do osiągnięcia. Nie jest to łatwe wyzwanie i przez jakiś czas będzie tematem dyskusji.”