Według danych opublikowanych przez Financial Times Stock Exchange (FTSE) ze 100 organizacji notowanych na liście 100 firm o największej kapitalizacji w Wielkiej Brytanii 97 było narażonych na incydent związany z naruszeniem danych w łańcuchu dostaw strony trzeciej w okresie od marca 2023 r. do marca 2024 r. Karta wyników bezpieczeństwa przed rocznikiem Infosec Europa sprawiedliwy.
Znaleziskaktóre pojawiają się w czasie, gdy ataki na łańcuch dostaw przez cały czas dominują w dyskusjach na temat cyberbezpieczeństwa – szczególnie w odniesieniu do bezpieczeństwa krytycznej infrastruktury krajowej (CNI) – ukazać skalę problemu, z którym borykają się wszystkie organizacje, a nie tylko te prominentne.
SecurityScorecard stwierdziło, iż indeks FTSE 100 dobrze sobie radził z ochroną własnych drzwi wejściowych – tylko 12% wymienionych organizacji samodzielnie zgłosiło w zeszłym roku naruszenie – w wyniku czego przeciwnicy muszą szukać innych sposobów przedostania się do środka, co zwykle oznacza poprzez systemy stron trzecich -stronni dostawcy technologii lub innych usług.
Firma stwierdziła, iż chce podkreślić, iż siła cyberbezpieczeństwa firmy jest bezpośrednio powiązana z siłą choćby jej najmniejszego dostawcy, ostrzegając, iż wykorzystanie takich firm jako nieświadomego konia trojańskiego było znacznie łatwiejsze niż bezpośrednie narażenie na szwank znanej organizacji z wieloma warstwami zabezpieczeń kontroli oraz w pełni rozwinięte centrum operacji bezpieczeństwa (SOC).
„Zarządzanie ryzykiem stron trzecich to najważniejszy element każdego solidnego programu bezpieczeństwa cybernetycznego, a firmy reprezentowane w tym raporcie odniosłyby korzyść, nadając mu priorytet” – powiedział Will Gray, dyrektor SecurityScorecard na Europę Północną.
„Sektory i organizacje w Wielkiej Brytanii oraz w całej Europie muszą teraz zrobić więcej, jeżeli mają być gotowe na wdrożenie DORA [Digital Operational Resilience Act] do stycznia 2025 r. oraz dyrektywę NIS2.
„Wzrost liczby naruszeń danych w Europie pokazuje, iż brytyjskie firmy przez cały czas muszą zarządzać ryzykiem stron trzecich [TPRM] integralny element nie tylko programu bezpieczeństwa, ale także procesu wyboru dostawcy” – dodał Gray.
Mieszany obraz
Oprócz potencjalnego narażenia na ataki w ramach łańcucha dostaw, brytyjskie firmy osiągające najlepsze wyniki zwykle charakteryzują się znacznie silniejszym poziomem bezpieczeństwa cybernetycznego niż ich europejskie odpowiedniki, przy czym 76% uzyskało trzy najwyższe oceny – od A do C – na zastrzeżonym wskaźniku ocen SecurityScorecardw porównaniu z 60% we Francji, 59% we Włoszech i 66% w Niemczech. Ponadto 85% organizacji w Wielkiej Brytanii z najwyższą oceną A nie zostało naruszonych w ciągu ostatniego roku.
Na szczęście dla osób zaniepokojonych zagrożeniami dla CNI najbezpieczniejszym sektorem w Wielkiej Brytanii był sektor energii i podstawowych materiałów (górnictwo i surowce), gdzie tylko 12% i 16% doświadczyło w zeszłym roku naruszeń przez strony trzecie, a żadna organizacja nie otrzymała oceny C stopień lub niższy. Branża usług finansowych również radziła sobie dobrze – tylko 5% z nich uzyskało ocenę C lub niższą. Organizacje działające w sektorze komunikacji mają jednak dużo pracy – 70% z nich uzyskało ocenę C lub niższą.
Najlepiej radzą sobie także najbogatsze firmy o najwyższej kapitalizacji rynkowej, które mogą sobie pozwolić na dobre bezpieczeństwo. Spośród 25 brytyjskich organizacji o wartości ponad 29 miliardów dolarów tylko 12% otrzymało ocenę C lub niższą, podczas gdy w przypadku 75 pozostałych odsetek ten wzrósł do 28%.
