Согласно новому исследованию NCC Group, в период с июля по декабрь 2021 года число кибератак на международные организации в цепочках поставок увеличилось на 51%.
Британская компания NCC Group в ходе исследования опросила около 1,4 тыс. специалистов крупных международных организаций, принимающих решения в сфере IT и информационной безопасности. Отмечается, что во втором полугодии 2021 года наблюдался существенный рост количество кибератак, проведенных на цепочки поставок.
В связи с ростом количества кибератак только 32% организаций уверены, что «смогут быстро и эффективно отреагировать на любые возможные нарушения в цепочках поставок».
В NCC Group отметили, что проведённое исследование также выявило некоторую путаницу в отношении того, какая именно сторона должна нести ответственность за процедуры предотвращения, обнаружения, уменьшения рисков цепочек поставок:
- 36% опрошенных заявили, что их организация более ответственно относится к информационной безопасности, чем поставщики;
- 53% организаций заявили о равном распределении ответственности между ними и поставщиками при кибератаках на цепочки поставок.
В NCC Group подчеркнули, что в 2022 году регулирующие органы Великобритании и ряда европейских стран намерены чаще привлекать к ответственности организации разных отраслей деятельности за риски, возникающие в цепочках поставок.
В частности, во внимание принимается европейский закон о цифровой операционной устойчивости (DORA), который требует, чтобы финансовые компании включали основные требования по обеспечению информационной безопасности в свои контракты, заключаемые с третьими сторонами.
В соответствии с GDPR, от европейских и британских организаций также требуется обеспечение максимальной прозрачности и подотчетности от каждого поставщика в цепочке поставок. Вместе с этим, по GDPR, особую ответственность в случае нарушений в цепочках поставок несут и поставщик, и клиент.
Около 49% респондентов заявили, что во время заключения контрактов они не оговаривают стандарты кибербезопасности, которых должны придерживаться их поставщики. 34% опрошенных NCC Group организаций уточнили, что с их стороны не осуществляется регулярный мониторинг и/или оценка мер кибербезопасности, которые были реализованы поставщиками.
По заявлению NCC Group, риски атак на поставщиков на данный момент являются главной проблемой на следующие 6-12 месяцев.