Riskantní spolupráce s dodavateli: kybernetické útoky na ně letos stojí za největšími úniky firemních dat

6. října 2021 – Rostoucí závažnost kybernetických bezpečnostních incidentů, které postihují firmy prostřednictvím dodavatelů, s nimiž sdílejí data, odhaluje nejnovější zpráva společnosti Kaspersky IT Security Economics. Průměrný finanční dopad takové události na firmu dosáhl v roce 2021 celosvětově výše 1,4 milionu dolarů (v zemích EU dokonce 2 miliony dolarů), což z ní činí nejnákladnější typ incidentu, přestože se loni nedostal ani do první pětky. Od roku 2020 se také výrazně změnilo celkové pořadí ztrát způsobených různými typy útoků. 

Útoky, které zasáhnou globální firmy skrze jejich dodavatele, se staly jasným trendem. Firemní data se obvykle distribuují k několika třetím stranám, například poskytovatelům služeb, partnerům, dodavatelům a dceřiným společnostem. Organizace proto musejí brát v úvahu nejen rizika kybernetické bezpečnosti, která ovlivňují jejich IT infrastrukturu, ale i ta, která můžou pocházet zvenčí. 

Podle průzkumu byla třetina (32 %) velkých organizací vystavena útokům zahrnujícím data sdílená s dodavateli. Toto číslo se od zprávy z roku 2020 (kdy činilo 33 %) výrazně nezměnilo. Finanční dopad tohoto formátu zůstává také stejný jako loni – 1,4 milionu dolarů –, tehdy však byl až na 13. místě v žebříčku průměrných ztrát ze všech forem útoků. 

Většina ostatních typů útoků vykazuje nižší finanční dopad, včetně fyzické ztráty zařízení ve firemním vlastnictví (1,3 milionu dolarů), útoků pro těžbu kryptoměn (1,3 milionu dolarů) nebo nesprávného využívání IT zdrojů ze strany zaměstnanců (1,3 milionu dolarů). Ty také změnily svoje místo v žebříčku, což ukazuje, jak pandemie ovlivnila firemní prostředí kybernetické bezpečnosti. 

V důsledku toho se také snížil průměrný finanční dopad všech typů útoků. Ve srovnání s loňskými výsledky nastal pozoruhodný 15 % pokles – 927 tisíc dolarů v roce 2021 oproti 1,09 milionu dolarů v roce 2020 – a klesl ještě níže než údaj z roku 2017 (992 tisíc dolarů). 

Možným důvodem tohoto stavu je příznivý vliv předchozích investic firem do opatření pro prevenci a zmírnění potenciálních následků. Průměrná výše nákladů na incidenty může být ovlivněna také skutečností, že firmy v tomto roce méně často ohlašovaly narušení bezpečnosti dat – dokázalo se mu vyhnout 34 % firem, zatímco v roce 2020 to bylo jen 28 %. Finančně zranitelné firmy se mohou zdráhat věnovat čas a náklady na vyšetřování trestného činu nebo riskovat poškození pověsti, pokud by informace o narušení jejich bezpečnosti pronikla na veřejnost.

„Ze závažnosti kybernetických útoků vyplývá, že organizace musejí při posuzování kybernetické bezpečnosti svého podnikání zohlednit také riziko jejího narušení prostřednictvím sdílení údajů s dodavateli. Pandemie změnila podmínky působení hrozeb a organizace by měly být připraveny přizpůsobit se tomu. Firmy by měly své dodavatele posuzovat podle typu práce, kterou vykonávají, a úrovně přístupu, který dostávají (zda pracují s citlivými údaji a infrastrukturou, nebo ne), a podle toho uplatňovat bezpečnostní požadavky. Firmy by měly zajistit, aby sdílely data pouze se spolehlivými třetími stranami, a rozšířit svoje stávající bezpečnostní požadavky i na dodavatele. V případě předávání citlivých údajů nebo informací to znamená, že od dodavatelů by měla být vyžadována veškerá dokumentace a certifikace (např. SOC 2), aby bylo zajištěno, že dokážou fungovat na potřebné úrovni zabezpečení. Ve velmi citlivých případech navíc doporučujeme provést před uzavřením jakékoli smlouvy předběžný audit, zda dodavatel splňuje příslušné podmínky,“ říká Evgeniya Naumova, výkonná viceprezidentka pro korporátní obchod společnosti Kaspersky.

K zajištění minimalizace rizika jakýchkoli útoků a úniků dat musí firmy používat účinnou ochranu koncových bodů s funkcemi detekce hrozeb a reakce na ně (ETDR). Kromě toho pomůžou organizacím s vyšetřováním útoků a odbornou reakcí také služby řízené ochrany. Tato základní úroveň ochrany koncových bodů je součástí řešení Kaspersky Optimum Security. Organizacím, které už disponují dostatečně vyspělým zabezpečením IT, poskytuje Kaspersky Expert Security navíc ochranu proti pokročilým perzistentním hrozbám (APT), nejnovější informace o hrozbách a specializované odborné školení. 

Chcete-li se dozvědět víc o nákladech a rozpočtech na zabezpečení IT ve firmách v roce 2021, podívejte se na Kaspersky IT Security Calculator. Celou zprávu IT Security Economics 2021: Managing the trend of growing IT complexity lze stáhnout zde.

O společnosti Kaspersky
Kaspersky je globální společnost zaměřená na kybernetickou bezpečnost, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují do inovativních bezpečnostních řešení a služeb na ochranu firem, kritické infrastruktury, vlád a dalších uživatelů po celém světě. Komplexní portfolio zabezpečení, jejž tato společnost nabízí, zahrnuje špičkovou ochranu koncových bodů a řadu specializovaných bezpečnostních řešení a služeb, jež pomáhají čelit sofistikovaným digitálním hrozbám, jakkoli se neustále proměňují. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a 240 000 firemním klientům přináší ochranu všeho, co je pro ně v digitální oblasti nejcennější. Další informace jsou k dispozici na www.kaspersky.com.