Kybernetické útoky na dodavatelský řetězec letos stojí za největšími úniky firemních dat

13. 10. 2021. (redaktor: František Doupal, zdroj: Kaspersky)
Nejnovější zpráva firmy Kaspersky odhaluje rostoucí závažnost kybernetických bezpečnostních incidentů, které postihují firmy prostřednictvím dodavatelů, s nimiž sdílejí data. Celkové pořadí ztrát způsobených různými typy útoků se i kvůli tomu meziročně výrazně změnilo.

Průměrný finanční dopad takové události na firmu dosáhl v roce 2021 celosvětově výše 1,4 milionu dolarů (v zemích EU to byly dokonce dva miliony dolarů), což z ní činí nejnákladnější typ incidentu, přestože se loni nedostal ani do první pětky.

Útoky, které zasáhnou globální firmy skrze jejich dodavatele, se staly jasným trendem. Firemní data se obvykle distribuují k několika třetím stranám, například poskytovatelům služeb, partnerům, dodavatelům a dceřiným společnostem. Organizace proto musejí brát v úvahu nejen rizika kybernetické bezpečnosti, která ovlivňují jejich IT infrastrukturu, ale i ta, která můžou pocházet zvenčí.

Podle průzkumu byla třetina (32 %) velkých organizací vystavena útokům zahrnujícím data sdílená s dodavateli. Toto číslo se od zprávy z roku 2020 (kdy činilo 33 %) výrazně nezměnilo. Finanční dopad tohoto formátu zůstává také stejný jako loni – 1,4 milionu dolarů –, tehdy však byl až na 13. místě v žebříčku průměrných ztrát ze všech forem útoků.

Většina ostatních typů útoků vykazuje nižší finanční dopad, včetně fyzické ztráty zařízení ve firemním vlastnictví (1,3 milionu dolarů), útoků pro těžbu kryptoměn (1,3 milionu dolarů) nebo nesprávného využívání IT zdrojů ze strany zaměstnanců (1,3 milionu dolarů). Ty také změnily svoje místo v žebříčku, což ukazuje, jak pandemie ovlivnila firemní prostředí kybernetické bezpečnosti.

V důsledku toho se také snížil průměrný finanční dopad všech typů útoků. Ve srovnání s loňskými výsledky nastal pozoruhodný 15 % pokles – 927 tisíc dolarů v roce 2021 oproti 1,09 milionu dolarů v roce 2020 – a klesl ještě níže než údaj z roku 2017 (992 tisíc dolarů).

Možným důvodem tohoto stavu je příznivý vliv předchozích investic firem do opatření pro prevenci a zmírnění potenciálních následků. Průměrná výše nákladů na incidenty může být ovlivněna také skutečností, že firmy v tomto roce méně často ohlašovaly narušení bezpečnosti dat – dokázalo se mu vyhnout 34 % firem, zatímco v roce 2020 to bylo jen 28 %. Finančně zranitelné firmy se mohou zdráhat věnovat čas a náklady na vyšetřování trestného činu nebo riskovat poškození pověsti, pokud by informace o narušení jejich bezpečnosti pronikla na veřejnost.

„Ze závažnosti kybernetických útoků vyplývá, že organizace musejí při posuzování kybernetické bezpečnosti svého podnikání zohlednit také riziko jejího narušení prostřednictvím sdílení údajů s dodavateli. Pandemie změnila podmínky působení hrozeb a organizace by měly být připraveny přizpůsobit se tomu. Firmy by měly své dodavatele posuzovat podle typu práce, kterou vykonávají, a úrovně přístupu, který dostávají (zda pracují s citlivými údaji a infrastrukturou, nebo ne), a podle toho uplatňovat bezpečnostní požadavky. Firmy by měly zajistit, aby sdílely data pouze se spolehlivými třetími stranami, a rozšířit svoje stávající bezpečnostní požadavky i na dodavatele. V případě předávání citlivých údajů nebo informací to znamená, že od dodavatelů by měla být vyžadována veškerá dokumentace a certifikace (např. SOC 2), aby bylo zajištěno, že dokážou fungovat na potřebné úrovni zabezpečení. Ve velmi citlivých případech navíc doporučujeme provést před uzavřením jakékoli smlouvy předběžný audit, zda dodavatel splňuje příslušné podmínky,“ uvedla Evgeniya Naumova, výkonná viceprezidentka pro korporátní obchod společnosti Kaspersky.

Chcete-li se dozvědět víc o nákladech a rozpočtech na zabezpečení IT ve firmách v roce 2021, podívejte se na Kaspersky IT Security Calculator. Celou zprávu IT Security Economics 2021: Managing the trend of growing IT complexity lze stáhnout zde.

Štítky: 

Podobné články

Jak se vyvíjejí kybernetické hrozby?

2. 12. 2021. (redaktor: František Doupal, zdroj: Eset)
Nejnovější studie Esetu upozorňuje na několik znepokojivých trendů v současném prostředí informačních technologií. Report se kromě celkového shrnutí věnuje i konkrétním tématům, jako jsou stále agresivnější taktiky útočníků v souvislosti s ransomware útoky, sílící útočné kampaně tzv. brute force metodou nebo podvodné phishingové kampaně zaměřené na lidi pracující z domova. Čtěte více

Finanční hrozby v roce 2022? Útoky na platební systémy, růst infostealerů a zneužívání kryptoměn

1. 12. 2021. (redaktor: František Doupal, zdroj: Kaspersky)
Státem podporované hackerské skupiny, které se zaměří na zneužívání kryptoměn, a kyberzločinci, kteří se budou snažit okrádat investory vytvářením podvodných digitálních peněženek se zadními vrátky. To jsou hlavní finanční hrozby na rok 2022, před nimiž varuje bezpečnostní společnost Kaspersky. Čtěte více

Proč už nestačí tradiční MSP poskytovatelé a kdo je nahradí?

1. 12. 2021. (redaktor: František Doupal, zdroj: Zebra systems)
Kybernetické bezpečnosti přiměly v roce 2021 poskytovatele MSP služeb zásadně rozšířit nabídku o služby IT bezpečnosti. Vzhledem k rozsahu hrozeb se tak z dodavatelů tradičních řízených služeb (MSP) postupně stávají dodavatelé řízených bezpečnostních služeb (MSSP). Čtěte více

90 % IT manažerů si myslí, že jejich organizace dělá kompromisy v kybernetické bezpečnosti ve prospěch jiných cílů

30. 11. 2021. (redaktor: František Doupal, zdroj: Trend Micro)
Mezi hlavní zjištění nejnovějšího výzkumu společnosti Trend Micro patří fakt, že podle 90 % IT manažerů s rozhodovacími pravomocemi připouští vedení ochotu slevit z požadavků na kybernetickou bezpečnost ve prospěch digitální transformace, produktivity i dalších cílů. Navíc 82 % respondentů uvedlo, že se cítí pod tlakem zlehčovat závažnost kybernetických rizik před správní radou. Čtěte více