Доходы компаний Global 2000 составляют 51,7 трлн долларов, при этом их тесная взаимосвязь подвергает организации серьёзным киберрискам: 99% игроков напрямую контактируют с взломанными поставщиками. Инциденты могут стоить корпорациям десятки миллиардов долларов, говорится в исследовании Global 2000: Industry Titans Battle the Beast of Supply Chain Cyber, проведённом SecurityScorecard и Cyentia Institute.
Природа современного бизнеса подразумевает, что уязвимость в одной части цепочки поставок может иметь далеко идущие последствия, потенциально затрагивая всю экосистему. В пример обычно приводят массовые инциденты с третьими лицами, такие как Change Healthcare, MOVEit и SolarWinds, которые только подчёркивают критическую необходимость надёжной кибербезопасности в этой модели.
Основные выводы исследования SecurityScorecard и Cyentia Institute:
- 99% компаний из списка Global 2000 напрямую связаны с нарушениями цепочек поставок;
- 20% этих мегакомпаний используют тысячу и более наименований продукции;
- устранение и управление инцидентами в цепочке поставок обходится в 17 раз дороже, чем простое нарушение безопасности;
- по оценкам, общие потери от взломов Global 2000 за 15 месяцев составили от 20 до 80 млрд долларов;
- 90% организаций из списка Global 2000 являются поставщиками друг для друга, что ведёт к повышенной концентрации рисков.
- не менее 80% компаний пользуются услугами восьми широко известных поставщиков (при этом четыре из пяти крупнейших компаний сообщили о недавних нарушениях).
Независимо от того, вызвано ли событие в цепочке поставок вредоносной атакой или неисправным обновлением, конечный результат события одинаков: пользователи лишаются доступа к критически важным системам, отмечают исследователи. Они призывают компании знать свою цепочку поставок (KYSC). Эти данные становятся всё более важным компонентом киберустойчивости, а понимание зависимостей внутри организации и поставщиков имеет решающее значение для эффективного реагирования на инциденты.
Ключевые шаги по обеспечению безопасности цепочки поставок включают непрерывный мониторинг внешнего периметра и защиту ИТ-систем с помощью непрерывного автоматического сканирования, выявление и снижение рисков ИТ-инфраструктуры и кибербезопасности в средах поставщиков и партнёров, определение критических бизнес-процессов и технологий, где могут быть точки отказа, мониторинг развертывания ИТ-решений поставщиков для выявления и устранения скрытых рисков в цепочке поставок.
По мнению экспертов, мир только начинает осознавать потенциал хаоса, вызванного риском концентраций ИБ-рисков.
Forbes Global 2000 — список двух тысяч крупнейших публичных компаний мира по версии журнала Forbes. Он ранжирует участников перечня по четырём показателям: продажи, прибыль, активы и рыночная стоимость.
Компания SecurityScorecard занимается вопросами кибербезопасности и специализируется на оценке рисков и уязвимостей в сетевых и информационных системах организаций. Она является мировым лидером в рейтингах кибербезопасности, в которых постоянно оцениваются более 12 млн компаний.
Cyentia Institute — исследовательский институт, специализирующийся на анализе данных и управлении кибербезопасностью.
- Безопасникам