Ponemon Institute: 59% организаций столкнулись с атаками на цепочку поставок программного обеспечения

В новом отчёте организации Ponemon Institute говорится о том, что 59% организаций подверглись атакам на цепочки поставок программного обеспечения, причём 54% из них столкнулись с такими инцидентами информационной безопасности в 2023 году. Опрос был проведён среди 1278 специалистов в области ИТ и ИБ (менеджеры, директора и старшие руководители составили почти 49% опрошенных).

28% респондентов заявили аналитикам, что причиной атак на цепочку поставок программного обеспечения была ранее обнаруженная неисправленная уязвимость с открытым исходным кодом, а 23% указали в качестве причины на уязвимость нулевого дня. Из этих организаций 50% компаний потребовалось более месяца, чтобы отреагировать на инцидент информационной безопасности.

По словам экспертов из Ponemon Institute, ответы опрошенных специалистов свидетельствуют об отсутствии стремления (со стороны организаций и/или руководителей) снизить риск вредоносного кода/вредоносного ПО.

Только 45% заявили, что в их организациях имеется система защиты от вредоносных пакетов с открытым исходным кодом, и только 39% полагают, что их высшее руководство активно стремится снизить эти риски в цепочках поставок программного обеспечения.

Компания Coro несколько недель назад представила собственный отчёт, в котором заявила, что около 73% специалистов по информационной безопасности в США практически никак не реагируют на высокоприоритетные предупреждения безопасности.

По словам аналитиков, это связано с тем, что в большинстве американских организаций разных направлений деятельности попросту не хватает ИБ-кадров, из-за чего у штатных сотрудников просто недостаточно времени для того, чтобы отреагировать на все предупреждения безопасности, которые исходят от соответствующего защитного программного обеспечения.