Дослідження: програми-вимагачі є головним ризиком в ланцюгах постачання програмного забезпечення
Згідно з опитуванням, опублікованим у понеділок ISACA, асоціацією ІТ-фахівців, що налічує 140 000 членів у 180 країнах.
Опитування, засноване на відповідях більш ніж 1300 ІТ-спеціалістів із розумінням ланцюга поставок, показало, що майже три чверті респондентів (73%) сказали, що програмне забезпечення-вимагач є ключовою проблемою, коли розглядають ризики ланцюга постачання для їхніх організацій.
Серед інших ключових проблем були погані методи інформаційної безпеки з боку постачальників (66%), уразливості програмного забезпечення (65%), зберігання даних третіх сторін (61%) і сторонні постачальники послуг або постачальники з фізичним або віртуальним доступом до інформаційних систем, програмного забезпечення, коду або IP (55%).
Посилене занепокоєння з приводу програм-вимагачів може бути пов’язано з тим, що це може завдати подвійної шкоди організації.
«По-перше, існує ризик того, що зловмисник знайде шлях атаки на організацію від скомпрометованого постачальника чи програмної залежності, як ми бачили з атаками SolarWinds і Kaseya, що вплинули на величезну кількість жертв через цей ланцюг поставок», — пояснив Кріс. Клементс, віце-президент з архітектури рішень Cerberus Sentinel, компанії з консалтингу з питань кібербезпеки та тестування на проникнення в Скоттсдейлі, штат Аризона.
Незнання лідера
Ці атаки на ланцюги постачання програмного забезпечення можуть мати негативний вплив на фізичний ланцюг поставок. «Програми-вимагачі спричиняють значні збої у вже налагодженому ланцюзі поставок, коли системи, які керують виробництвом та розповсюдженням товарів і послуг, переведені в автономний режим», – зауважив Еріх Крон, адвокат з питань безпеки KnowBe4, постачальника тренінгів з питань безпеки в Кліруотері, штат Флорида.
«Це може вплинути на замовлення та відстеження запасів матеріалів, необхідних для виготовлення предметів, на відстеження стану предметів, необхідних для виконання замовлень, і може створити логістичні проблеми з доставкою матеріалів клієнтам, створюючи дефіцит для їхніх клієнтів», — сказав він.
«У світі своєчасного виконання замовлень будь-які затримки можуть йти каскадом по ланцюгу поставок, впливаючи на все більше і більше людей», – додав він.
Майже третина опитаних ІТ-професіоналів (30%) виявили, що керівники їх організацій недостатньо розуміли ризики ланцюга поставок. «Той факт, що це було лише 30%, був дещо обнадійливим», — сказав директор ради ISACA Роб Клайд. «Кілька років тому ця цифра була б набагато вищою».
Песимістичні прогнози
Навіть у ситуаціях, коли керівники розуміють ризики для свого ланцюга поставок, вони не помиляться щодо безпеки. «У ситуаціях, коли компаніям доводиться вибирати між безпекою та зростанням, щоразу, коли ви бачите, як вони вибирають зростання», – зауважив Кейсі Біссон, керівник відділу зв’язків із продуктами та розробниками BluBracket, компанії з кібербезпеки в Менло-Парк, Каліфорнія.
Опитування ISACA також виявило сильний песимізм серед ІТ-спеціалістів щодо перспектив безпеки їхніх ланцюгів поставок. Лише 44% вказали, що вони дуже впевнені в безпеці ланцюга поставок своєї організації, тоді як 53% очікують, що проблеми з ланцюгом поставок залишаться такими ж або погіршаться протягом наступних шести місяців.
Одним із найбільш несподіваних висновків опитування було те, що 25% організацій заявили, що зазнали атаки на ланцюг поставок за останні 12 місяців.
«Хоча багато організацій зазнали кібератак за останні 12 місяців, я не думав, що їх так багато приписують проблемі ланцюга поставок. Якби ми поставили це питання кілька років тому, це було б дуже мало», – додав він.
Тим часом більше 8 з 10 технічних експертів (84%) заявили, що їхні ланцюги постачання потребують кращого управління, ніж те, що вони мають зараз.
Потрібен аудит
Майк Паркін, старший технічний інженер компанії Vulcan Cyber, постачальника SaaS для усунення кіберризиків підприємства в Тель-Авіві, Ізраїль, зазначив, що існує багато факторів, які впливають на захист ланцюга постачання.
«Організації завжди мають повне бачення свого власного середовища, а це означає, що вони повинні довіряти, що їхні постачальники дотримуються найкращих практик», — сказав експерт.
Він додає, що має бути певна довіра до постачальників; однак, якщо управління буде посилено, щоб підтвердити те, що говорять організації, а не просто довіряти відповідям з анкети, необхідно запровадити систему аудиту.
«Це неминуче призведе до збільшення витрат, до чого багато організацій докладають максимум зусиль, щоб зберегти якомога нижчий рівень, щоб залишатися конкурентоспроможними», – говорить експерт.
«Хоча це може бути легше виправдати для критично важливих державних або військових систем, це може бути важко продавати для традиційних постачальників», – сказав він.
За матеріалами: Technewsworld