Kybernetické útoky na dodavatelský řetězec letos stojí za největšími úniky firemních dat

13. 10. 2021. (redaktor: František Doupal, zdroj: Kaspersky)
Nejnovější zpráva firmy Kaspersky odhaluje rostoucí závažnost kybernetických bezpečnostních incidentů, které postihují firmy prostřednictvím dodavatelů, s nimiž sdílejí data. Celkové pořadí ztrát způsobených různými typy útoků se i kvůli tomu meziročně výrazně změnilo.

Průměrný finanční dopad takové události na firmu dosáhl v roce 2021 celosvětově výše 1,4 milionu dolarů (v zemích EU to byly dokonce dva miliony dolarů), což z ní činí nejnákladnější typ incidentu, přestože se loni nedostal ani do první pětky.

Útoky, které zasáhnou globální firmy skrze jejich dodavatele, se staly jasným trendem. Firemní data se obvykle distribuují k několika třetím stranám, například poskytovatelům služeb, partnerům, dodavatelům a dceřiným společnostem. Organizace proto musejí brát v úvahu nejen rizika kybernetické bezpečnosti, která ovlivňují jejich IT infrastrukturu, ale i ta, která můžou pocházet zvenčí.

Podle průzkumu byla třetina (32 %) velkých organizací vystavena útokům zahrnujícím data sdílená s dodavateli. Toto číslo se od zprávy z roku 2020 (kdy činilo 33 %) výrazně nezměnilo. Finanční dopad tohoto formátu zůstává také stejný jako loni – 1,4 milionu dolarů –, tehdy však byl až na 13. místě v žebříčku průměrných ztrát ze všech forem útoků.

Většina ostatních typů útoků vykazuje nižší finanční dopad, včetně fyzické ztráty zařízení ve firemním vlastnictví (1,3 milionu dolarů), útoků pro těžbu kryptoměn (1,3 milionu dolarů) nebo nesprávného využívání IT zdrojů ze strany zaměstnanců (1,3 milionu dolarů). Ty také změnily svoje místo v žebříčku, což ukazuje, jak pandemie ovlivnila firemní prostředí kybernetické bezpečnosti.

V důsledku toho se také snížil průměrný finanční dopad všech typů útoků. Ve srovnání s loňskými výsledky nastal pozoruhodný 15 % pokles – 927 tisíc dolarů v roce 2021 oproti 1,09 milionu dolarů v roce 2020 – a klesl ještě níže než údaj z roku 2017 (992 tisíc dolarů).

Možným důvodem tohoto stavu je příznivý vliv předchozích investic firem do opatření pro prevenci a zmírnění potenciálních následků. Průměrná výše nákladů na incidenty může být ovlivněna také skutečností, že firmy v tomto roce méně často ohlašovaly narušení bezpečnosti dat – dokázalo se mu vyhnout 34 % firem, zatímco v roce 2020 to bylo jen 28 %. Finančně zranitelné firmy se mohou zdráhat věnovat čas a náklady na vyšetřování trestného činu nebo riskovat poškození pověsti, pokud by informace o narušení jejich bezpečnosti pronikla na veřejnost.

„Ze závažnosti kybernetických útoků vyplývá, že organizace musejí při posuzování kybernetické bezpečnosti svého podnikání zohlednit také riziko jejího narušení prostřednictvím sdílení údajů s dodavateli. Pandemie změnila podmínky působení hrozeb a organizace by měly být připraveny přizpůsobit se tomu. Firmy by měly své dodavatele posuzovat podle typu práce, kterou vykonávají, a úrovně přístupu, který dostávají (zda pracují s citlivými údaji a infrastrukturou, nebo ne), a podle toho uplatňovat bezpečnostní požadavky. Firmy by měly zajistit, aby sdílely data pouze se spolehlivými třetími stranami, a rozšířit svoje stávající bezpečnostní požadavky i na dodavatele. V případě předávání citlivých údajů nebo informací to znamená, že od dodavatelů by měla být vyžadována veškerá dokumentace a certifikace (např. SOC 2), aby bylo zajištěno, že dokážou fungovat na potřebné úrovni zabezpečení. Ve velmi citlivých případech navíc doporučujeme provést před uzavřením jakékoli smlouvy předběžný audit, zda dodavatel splňuje příslušné podmínky,“ uvedla Evgeniya Naumova, výkonná viceprezidentka pro korporátní obchod společnosti Kaspersky.

Chcete-li se dozvědět víc o nákladech a rozpočtech na zabezpečení IT ve firmách v roce 2021, podívejte se na Kaspersky IT Security Calculator. Celou zprávu IT Security Economics 2021: Managing the trend of growing IT complexity lze stáhnout zde.

Štítky: 
Bezpečnost, Kybernetické útoky, Kaspersky
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Třetina zaměstnanců v práci sdílí hesla, otevírá neznámé přílohy nebo jinak ohrožuje bezpečnost

3. 5. 2024. (redaktor: František Doupal, zdroj: Anect)
Třetina českých zaměstnanců porušuje zásady bezpečného chování na internetu a své zaměstnavatele tak vystavuje zvýšenému riziku online podvodu nebo hackerského útoku. Lidé například navzájem sdílejí přihlašovací údaje do firemních systémů, zasílají pracovní dokumenty soukromým e-mailem či přes sociální sítě nebo k práci využívají neschválené soukromé počítače či telefony. Čtěte více

Počet DDoS útoků na české firmy roste druhý měsíc v řadě

3. 5. 2024. (redaktor: František Doupal, zdroj: ComSource)
Počty DDoS útoků na české firmy i jejich celková intenzita v březnu opět vzrostly. Oproti předcházejícímu měsíci dvojnásobně, ve srovnání se začátkem roku dokonce šestinásobně. Dostaly se tak přibližně na úroveň léta loňského roku. Trendem je přitom využívání stále kvalitnějších a efektivnějších útoků. Nejvíce útoků již od července loňského roku míří z Ruska. Čtěte více

Řešení HP Wolf Pro Security získalo vynikající hodnocení v AV-TESTu

3. 5. 2024. (redaktor: František Doupal, zdroj: HP Inc.)
Výzkumníci z AV-TESTu označili nové řešení HP Wolf Pro Security za „TOP Produkt“ pro ochranu koncových zařízení ve firmách. Studie výzkumného institutu v oblasti bezpečnosti IT AV-TEST potvrdila, že bezpečnostní software Wolf Pro Security od HP je jedním z nejlepších antivirových řešení pro firemní uživatele využívající platformu Windows na trhu. Čtěte více

Zyxel posiluje kybernetickou bezpečnost v souladu s požadavky směrnice NIS2

2. 5. 2024. (redaktor: František Doupal, zdroj: Zyxel)
Směrnice EU o bezpečnosti sítí a informačních systémů NIS1, která platí od roku 2016, přestala v důsledku rostoucí četnosti a složitosti kybernetických hrozeb vyhovovat nárokům dnešní doby. Její novela, která nabude účinnosti 18. října 2024, představuje příležitost k posílení kybernetické bezpečnosti. Čtěte více