Μια νέα διεθνής έρευνα της Kaspersky διαπίστωσε ότι η έλλειψη καταρτισμένου προσωπικού στην κυβερνοασφάλεια, καθώς και η ανάγκη των επιχειρήσεων να ιεραρχούν πολλαπλές εργασίες ασφαλείας, δυσχεραίνουν την αντιμετώπιση των κινδύνων που στοχεύουν στην εφοδιαστική αλυσίδα και στις σχέσεις εμπιστοσύνης. Και οι δύο παράγοντες αναφέρονται από σχεδόν τους μισούς (42%) συμμετέχοντες.
Η πρόσφατη έρευνα της Kaspersky σχετικά με τους κινδύνους στην εφοδιαστική αλυσίδα και τις επιθέσεις που βασίζονται σε σχέσεις εμπιστοσύνης έδειξε ότι οι εφοδιαστικές αλυσίδες αποτελούν κορυφαίο στόχο για τους δράστες που στοχεύουν σε επιχειρήσεις, καθώς ένας στους τρεις οργανισμούς έχει δεχθεί τέτοιου είδους επίθεση κατά τον τελευταίο χρόνο. Η σοβαρότητα και η συχνότητα αυτών των επιθέσεων καθιστούν αναγκαία την κατανόηση των βασικών λόγων που εμποδίζουν την αποτελεσματική αντιμετώπισή τους.
Σύμφωνα με την έρευνα, ένα από τα βασικά εμπόδια για την εξάλειψη των κινδύνων στην εφοδιαστική αλυσίδα και στις σχέσεις εμπιστοσύνης είναι η έλλειψη εξειδικευμένου εργατικού δυναμικού. Η έλλειψη αυτή αφήνει τους οργανισμούς χωρίς την ικανότητα να έχουν συνεχή πρόσβαση και παρακολούθηση πιθανών ευπαθειών τρίτων σε ολόκληρο το δίκτυο συνεργατών τους. Η ανάγκη για επαγγελματίες ασφάλειας που μπορούν να αντιμετωπίσουν αποτελεσματικά τέτοιους κινδύνους είναι ιδιαίτερα υψηλή στο Βιετνάμ, τα Ηνωμένα Αραβικά Εμιράτα, το Μεξικό και την Ισπανία.
Μεταξύ άλλων βασικών εμποδίων, οι συμμετέχοντες ανέφεραν την ανάγκη διαχείρισης πολλαπλών προτεραιοτήτων κυβερνοασφάλειας, μια ανάγκη που είναι ιδιαίτερα έντονη για συμμετέχοντες στην έρευνα από την Ινδία, το Βιετνάμ, τη Σιγκαπούρη και την Αίγυπτο. Η συγκεκριμένη διαπίστωση αντανακλά το γεγονός ότι οι ομάδες κυβερνοασφάλειας είναι επιφορτισμένες με πάρα πολλές εργασίες ταυτόχρονα, κάτι που μπορεί να οδηγήσει σε ανεπαρκή αντιμετώπιση των κινδύνων στην εφοδιαστική αλυσίδα.
Εκτός από τους περιορισμούς στους πόρους, οι συμμετέχοντες επισημαίνουν και δομικά ζητήματα: το 39% ισχυρίζεται ότι οι συμβάσεις τους δεν περιλαμβάνουν σαφή καθήκοντα κυβερνοασφάλειας για τους εξωτερικούς συνεργάτες, με τις ασάφειες στις συμβάσεις να παρατηρούνται ιδιαίτερα στο Βιετνάμ, την Τουρκία, την Ισπανία και το Μεξικό. Επιπλέον, το 32% αναφέρει ότι εργαζόμενοι εκτός της ομάδας κυβερνοασφάλειας δεν κατανοούν πλήρως τους συγκεκριμένους κινδύνους.
Σε παγκόσμιο επίπεδο, σύμφωνα με την έρευνα, το εντυπωσιακό ποσοστό του 85% των επιχειρήσεων παραδέχεται ότι χρειάζεται να αναβαθμίσει την προστασία του απέναντι στους κινδύνους που στοχεύουν στην εφοδιαστική αλυσίδα και βασίζονται στις σχέσεις εμπιστοσύνης, ενώ μόλις το 15% των επιχειρήσεων θεωρεί τα τρέχοντα μέτρα ασφαλείας αποτελεσματικά. Το επίπεδο εμπιστοσύνης υποχωρεί περαιτέρω σε μεγάλες οικονομίες όπως η Γερμανία (6%), η Τουρκία (7%), η Ιταλία (8%), η Βραζιλία (8%), η Ρωσία (8%) και η Σαουδική Αραβία (9%).
Παράλληλα, τα αποτελέσματα της έρευνας έδειξαν ότι οι τρέχουσες πρακτικές μετριασμού των κινδύνων από τρίτους είναι αποσπασματικές, καθώς καμία λύση προστασίας δεν ξεπερνά το 40% σε επίπεδο υιοθέτησης. Ακόμη και το πιο διαδεδομένο μέτρο προστασίας, ο έλεγχος δύο παραγόντων, χρησιμοποιείται μόνο από το 38% των συμμετεχόντων.
Επιπλέον, μόλις το 35% των οργανισμών πραγματοποιεί τακτικές αξιολογήσεις της κυβερνοασφάλειας των συνεργατών του. Ως αποτέλεσμα, σχεδόν τα δύο τρίτα των επιχειρήσεων δεν διαθέτουν συνεχή εποπτεία των μεθόδων ασφαλείας που χρησιμοποιούν οι συνεργάτες τους, με αποτέλεσμα να παραμένουν εκτεθειμένες σε διαρκώς εξελισσόμενες ευπάθειες στο σύστημα των εργασιών τους.
Αξίζει να σημειωθεί ότι οι εταιρείες που έχουν ήδη υποστεί επιθέσεις στην εφοδιαστική αλυσίδα και στις σχέσεις εμπιστοσύνης τείνουν να υιοθετούν ισχυρότερες πρακτικές ασφάλειας. Όσες έχουν πληγεί από περιστατικά στην εφοδιαστική αλυσίδα είναι πιο πιθανό να ζητούν αποτελέσματα δοκιμών παραβίασης συστημάτων (56%), ενώ τα θύματα παραβιάσεων σχέσεων εμπιστοσύνης δίνουν προτεραιότητα σε ελέγχους συμμόρφωσης με τα βιομηχανικά πρότυπα (56%) και στις πολιτικές εφοδιαστικής αλυσίδας των εξωτερικών συνεργατών τους (53%).
«Όταν οι ομάδες ασφάλειας έχουν μεγάλο όγκο εργασίας, είναι υποστελεχωμένες και πρέπει να δίνουν προτεραιότητα σε επείγουσες υποχρεώσεις έναντι μακροπρόθεσμων στόχων ανθεκτικότητας, οι επιχειρήσεις παραμένουν εκτεθειμένες σε απειλές που μπορούν να κινούνται αθόρυβα μέσα από το περιβάλλον των παρόχων τους. Για να σπάσει αυτός ο κύκλος, ο κλάδος πρέπει να υιοθετήσει πιο ενιαίες και συνεπείς στρατηγικές μετριασμού. Αυτές μπορεί να είναι για παράδειγμα από τυποποιημένες αξιολογήσεις εξωτερικών συνεργατών έως ενίσχυση της εγρήγορσης των εργαζομένων σε όλα τα τμήματα. Η ασφάλεια της εφοδιαστικής αλυσίδας θα πρέπει να γίνει μια κοινή, δεσμευτική ευθύνη σε ολόκληρο το επιχειρηματικό δίκτυο», σχολιάζει ο Sergey Soldatov, Επικεφαλής του Security Operations Center στην Kaspersky.
Μόνο μέσω της εφαρμογής προληπτικών μέτρων σε ολόκληρο τον οργανισμό και της στρατηγικής προσέγγισης των συνεργασιών με προμηθευτές και εξωτερικούς συνεργάτες μπορούν οι εταιρείες να μειώσουν τους κινδύνους στην εφοδιαστική αλυσίδα και να διασφαλίσουν την ανθεκτικότητα της επιχείρησής τους.
Για τον μετριασμό τέτοιων κινδύνων, η Kaspersky συνιστά τα εξής:
- Αναθέστε τη διαχείριση της ασφάλειας σε εξωτερικές υπηρεσίες. Για οργανισμούς που δεν διαθέτουν επαρκείς πόρους κυβερνοασφάλειας, η καλύτερη λύση είναι η ανάθεση σε εξωτερικούς συνεργάτες. Χρησιμοποιήστε υπηρεσίες όπως το Kaspersky Managed Detection and Response (MDR) ή / και Incident Response, που καλύπτουν ολόκληρο τον κύκλο διαχείρισης περιστατικών — από την ανίχνευση των απειλών έως τη συνεχή προστασία και αποκατάσταση.
- Επενδύστε σε επιπλέον εκπαιδεύσεις κυβερνοασφάλειας. Ενισχύστε τις γνώσεις κυβερνοασφάλειας των εργαζομένων σας μέσω πρακτικά σχεδιασμένων, αυτοκαθοδηγούμενων ή ζωντανών προγραμμάτων εκπαίδευσης Kaspersky Cybersecurity Training. Τα προγράμματα αυτά βοηθούν τους επαγγελματίες ασφάλειας να αναπτύξουν τις τεχνικές τους δεξιότητες και να προστατεύσουν τις εταιρείες από προηγμένες επιθέσεις.
- Αξιολογήστε ενδελεχώς τους προμηθευτές σας πριν προχωρήσετε σε συνεργασία. Ελέγξτε τις πολιτικές κυβερνοασφάλειάς τους, πληροφορίες για προηγούμενα περιστατικά και τη συμμόρφωσή τους με τα πρότυπα ασφάλειας του κλάδου. Για λογισμικό και υπηρεσίες cloud, συνιστάται επίσης η εξέταση δεδομένων ευπαθειών και αποτελεσμάτων δοκιμών διείσδυσης.
- Εφαρμόστε τις συμβατικές απαιτήσεις ασφαλείας. Οι συμβάσεις με προμηθευτές θα πρέπει να περιλαμβάνουν συγκεκριμένες απαιτήσεις ασφάλειας πληροφοριών, όπως τακτικούς ελέγχους ασφάλειας, συμμόρφωση με τις σχετικές πολιτικές του οργανισμού και πρωτόκολλα ειδοποίησης για περιστατικά παραβίασης.
- Συνεργαστείτε με τους προμηθευτές σας για θέματα ασφάλειας. Μπορείτε να ενισχύσετε την προστασία και από τις δύο πλευρές και να την θέσετε ως κοινή προτεραιότητα.
Περισσότερες συστάσεις, καθώς και άλλα ευρήματα σχετικά με τον μετριασμό των κινδύνων στην εφοδιαστική αλυσίδα, είναι διαθέσιμα εδώ.
