SecurityScorecard: энергетический сектор США уязвим для атак на цепочки поставок

SecurityScorecard: энергетический сектор США уязвим для атак на цепочки поставок

По данным нового исследования SecurityScorecard и KPMG, энергетический сектор США особенно подвержен риску атак на цепочки поставок. В частности, за последний год 45% нарушений безопасности в этой отрасли были связаны с действиями третьих лиц. Для сравнения, среднемировой показатель нарушений цепочек поставок во всех других отраслях составляет 29%.

Исследование показало, что в 90% атак на энергетические компании, совершённых более одного раза, участвовали третьи лица. 67% нарушений, связанных со сторонними организациями, были связаны с внешними поставщиками программного обеспечения и ИТ. Около 22% были связаны с другими энергетическими компаниями.

Наиболее распространённой причиной сторонних нарушений в энергетическом секторе стала масштабная эксплуатация уязвимости программного обеспечения для передачи файлов MOVEit бандой Clop в 2023 году, что составило 39% зарегистрированных сторонних нарушений.

В отчёте указано, что 3 из 7 компрометаций MOVEit, проанализированных в ходе исследования, были связаны с энергетическими компаниями, которые напрямую использовали программное обеспечение MOVEit. Остальные четыре были результатом взлома поставщиков через их собственные установки MOVEit — по сути, третьих лиц. Аналитики также отмечают, что в связи с ростом геополитических и технологических угроз эта сложная система сталкивается с не менее серьёзным риском, который может нанести вред как гражданам, так и предприятиям.

В исследовании были проанализированы 250 крупнейших энергетических компаний США, представляющих различные подсекторы, включая электроэнергетику и коммунальные услуги, нефть и газ, природные ресурсы и химическую промышленность.

В отчёте говорится, что в энергетическом секторе наблюдаются различные уровни эффективности кибербезопасности. В целом, энергетическая отрасль США получила оценку «B» по методологии рейтинга Scorecard, что считается хорошим или достойным. Эти рейтинги учитывают ряд областей кибербезопасности.

Полная версия отчёта представлена по ссылке.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: