Lähes jokainen yritys harjoittaa liiketoimintaa kolmannen osapuolen kanssa tai käyttää sen tuotteita, jotka ovat joutuneet kompromissiin, mikä lisää heidän tietoturvariskejään.

Näin kertoo tietotieteellinen yritys Cyentia Institute, joka on julkaissut analyysin, joka sisältää yli 230,000 10 organisaation ulkoisia turvallisuusmittauksia, jotka on toimittanut kyberturvallisuuden riskienhallintayritys SecurityScorecard. Se havaitsi, että keskimääräisellä yrityksellä oli noin 60 suhdetta kolmannen osapuolen kanssa ja satoja epäsuoria suhteita neljännen osapuolen kanssa, ja tyypillisellä yrityksellä oli 90–98 kertaa enemmän neljättä osapuolta kuin kolmansia osapuolia. Lähes kaikilla yrityksillä (XNUMX %) oli ainakin yksi kolmas osapuoli, joka oli joutunut rikkomukseen, raportissa todettiin.

IT-sektorilla on eniten kolmansia osapuolia, keskimäärin 25, kun taas rahoitussektorilla vähiten, 6.5. Nämä luvut kasvavat nopeasti, kun neljännen osapuolen suhteet otetaan mukaan, samoin kuin niiden riski. Keskimääräisellä yrityksellä on epäsuora suhde 200 neljännen osapuolen kanssa, jotka ovat joutuneet rikkomaan, analyysi totesi.

Tutkimus korostaa yritysten kolmannen ja neljännen osapuolen välisten suhteiden hajaantuvaa luonnetta ja niiden aiheuttaman riskin dramaattista lisääntymistä, sanoo Wade Baker, Cyentia Instituten perustaja ja kumppani.

"Riski menee alamäkeen", hän sanoo. "Ensimmäisillä osapuolilla on todennäköisemmin hyvät turvallisuus [riski]pisteet kuin kolmansilla osapuolilla, ja neljännen osapuolen kanssa määrät todella räjähtävät. Sinun täytyy odottaa, että [nämä yritykset ja tuotteet] eivät täytä turvallisuusstandardejasi."

Tämä johtuu siitä, että vaikka monet organisaatiot ovat kypsyneet omiin kyberriskeihinsä, harvat ovat tietoisia laajennetuista riskeistä, Cyentia ja SecurityScorecard analyysissä todettiin.

"Monet organisaatiot eivät edelleenkään ole tietoisia riippuvuuksista ja altistumisesta, jotka liittyvät kolmansien osapuolten suhteisiin, ja keskittyvät vain oman turvallisuusasetuksensa hallintaan", raportissa todettiin. "Toiset ovat tietoisia näistä ongelmista, mutta eivät tee toimittajapäätöksiä tietoturvan perusteella ja/tai vaadi toimittajia noudattamaan tiettyjä standardeja. Jopa yritykset, jotka asettavat kolmannen osapuolen turvallisuusvaatimuksia, voivat kamppailla valvoakseen jatkuvasti vaatimustenmukaisuutta ja edistymistä."

Kolmannen osapuolen ja toimitusketjun riskeistä on tullut merkittäviä ongelmia viime vuosina. Ja CISO:t ovat alkaneet varoa kolmannen osapuolen tarjoajiaan siitä lähtien LVI-toimittajan kompromissi johti vähittäiskauppajätti Targetin rikkominen.

Analyysissa tarkastellaan kolmannen osapuolen riskejä, mutta kolmannen osapuolen määritelmä ei ulotu pelkästään toimittajiin ja kumppaneihin, vaan ohjelmistotoimittajiin ja avoimen lähdekoodin projekteihin. Nyt pahamaineisia hyökkäyksiä ohjelmistotoimittajia vastaan kuten SolarWindsja haavoittuvuuksia laajalti käytettyissä ohjelmistokomponenteissa kuten Log4J, ovat lisänneet tämän areenan aiheuttaman riskin näkyvyyttä.

Viisi suosituinta teknologiaa, jotka sisältyvät dataan sisältyviin kolmansien osapuolten suhteisiin, ovat Google Analytics, Google Tag Manager, Amazon Web Hosting, PHP ja Facebook -tuotteet – jotka kaikki olivat mukana kahdessa kolmasosassa (5 %) kolmansien osapuolien suhteista. raportissa todettiin.

"Monet näistä kolmannen ja neljännen osapuolen suhteista [osallistuvat meille], että molemmat suostuvat noudattamaan tiettyjä käytäntöjä vain tuotteen käytön perusteella, ja nyt avaan itseni tietylle riskille", Baker sanoo.

Riski kasvaa jokaisen humalan myötä

Analyysissa havaittiin myös, että kolmansilla osapuolilla on tyypillisesti heikompi tietoturva-asetelma kuin heidän palvelemillaan yrityksillä. Kaiken kaikkiaan on paljon suurempi todennäköisyys, että kolmansilla osapuolilla on turvallisuusongelmia, mikä tarkoittaa, että yritykset eivät voi olettaa, että kaikki kolmannet osapuolet ovat yhtä ahkerasti turvallisuuden suhteen.

"Suhtaudun siihen samalla tavalla kuin me kaikki tietäen, että meillä on liikaa oikeuksia - yleensä ihmisillä on pääsy enemmän dataan kuin he tarvitsevat työnsä suorittamiseen", Baker sanoo. "Kolmansien osapuolten määrää olisi hyvä vähentää, varsinkin jos niitä ei tarvita, ja olla myös hieman valikoivampi."

Tiedot eivät kuitenkaan anna selvää tietä eteenpäin, sen lisäksi, että ongelmasta tulee tietoisempi. Baker ei välttämättä suosittele esimerkiksi, että organisaatiot leikkaavat 25 prosenttia kolmansista osapuolistaan ​​liiketoiminnastaan. Niiden arvioiminen tarkemmin tai useammin saattaa kuitenkin olla realistisempaa, hän sanoo.

"Jos todella haluamme suojella toimitusketjujamme, meidän on vahvistettava heikoin lenkki", Baker sanoo. "Ja mielestäni analyysi osoittaa, että kolmansien osapuolien ja neljännen osapuolen välillä on paljon heikkoja linkkejä, ja siinä piilee haaste."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://www.darkreading.com/cloud/nearly-all-firms-have-ties-breached-third-parties