Цепочки поставок представляют угрозу кибербезопасности, говорится в отчете

Согласно отчету службы безопасности, цепочки поставок создают риски кибербезопасности для компаний.

Нью-йоркская компания BlueVoyant сообщила, что опросила более 1500 ИТ-директоров, директоров по информационной безопасности и директоров по закупкам в пяти странах. Эти руководители работают в различных секторах, включая производство.

В отчете говорится, что 80 процентов респондентов «потерпели нарушение» в цепочке поставок. В большинстве из них «было не менее двух нарушений, а в каждом десятом — более шести».

Консалтинговая фирма сообщила, что 29% респондентов «сказали, что не могут узнать, возникает ли риск у стороннего поставщика», пока не произойдет нарушение. «Такие организации фактически летают вслепую».

«Проблема фактических сбоев в цепочках поставок — это реальная проблема, — сказал в интервью Джим Пенроуз, главный операционный директор BlueVoyant.

Пенроуз сказал, что крупные производители должны помогать своим поставщикам в обеспечении кибербезопасности.

«Мы все зависим друг от друга, — сказал он. «У многих мелких парней может не быть сотрудников службы безопасности».

По данным BlueVoyant, только 23 % респондентов заявили, что отслеживают всех своих поставщиков, а 19 % заявили, что отслеживают только критически важных поставщиков.

«Это оставляет длинный след поставщиков, которые полностью не отслеживаются, и каждый из них потенциально рискует в конкретный день», — говорится в отчете.

Пенроуз сказал, что компании, в том числе производители, проводят проверки через определенные промежутки времени.

«Первый шаг — вы должны отказаться от этой модели периодической оценки», — сказал он. «Эта периодическая проверка слишком медленная».

В отчете BlueVoyant говорится, что только 2 процента респондентов проводят мониторинг в режиме реального времени или ежедневно, и только «один из десяти» проводит оценку каждую неделю. В отчете говорится, что «пятая часть компаний ежеквартально оценивает киберриски». Все это сопоставимо с «быстро меняющимся ландшафтом киберугроз».

Компании должны задать себе вопрос:«Как мы каждый день снижаем риск?» — сказал Пенроуз в интервью.

«Организации не всегда заранее сообщают поставщикам, когда обнаруживают проблему», — говорится в отчете. 36% респондентов «информируют поставщика и надеются, что он исправит проблему, и столько же полагаются на то, что поставщик обеспечит надлежащую безопасность».

В одном из разделов отчета особое внимание уделялось производству.

По словам консалтинговой компании, промышленный Интернет вещей (IIoT), когда производственные машины взаимодействуют друг с другом, создает больше кибер-рисков. В отчете говорится, что «потенциальные последствия кибератак, приводящих к отключению всего или части IIoT или сбору данных из него, возрастают».

Консалтинговая фирма опросила 250 руководителей производственного сектора. Из этих респондентов 57% заявили, что за последние 12 месяцев они столкнулись с кибератакой в ​​своей цепочке поставок. Кроме того, 82% заявили, что не проверяют всех поставщиков на наличие киберрисков.