SecurityScorecard: энергетический сектор США уязвим для атак на цепочки поставок

По данным нового исследования SecurityScorecard и KPMG, энергетический сектор США особенно подвержен риску атак на цепочки поставок. В частности, за последний год 45% нарушений безопасности в этой отрасли были связаны с действиями третьих лиц. Для сравнения, среднемировой показатель нарушений цепочек поставок во всех других отраслях составляет 29%.
Исследование показало, что в 90% атак на энергетические компании, совершённых более одного раза, участвовали третьи лица. 67% нарушений, связанных со сторонними организациями, были связаны с внешними поставщиками программного обеспечения и ИТ. Около 22% были связаны с другими энергетическими компаниями.
Наиболее распространённой причиной сторонних нарушений в энергетическом секторе стала масштабная эксплуатация уязвимости программного обеспечения для передачи файлов MOVEit бандой Clop в 2023 году, что составило 39% зарегистрированных сторонних нарушений.
В отчёте указано, что 3 из 7 компрометаций MOVEit, проанализированных в ходе исследования, были связаны с энергетическими компаниями, которые напрямую использовали программное обеспечение MOVEit. Остальные четыре были результатом взлома поставщиков через их собственные установки MOVEit — по сути, третьих лиц. Аналитики также отмечают, что в связи с ростом геополитических и технологических угроз эта сложная система сталкивается с не менее серьёзным риском, который может нанести вред как гражданам, так и предприятиям.
В исследовании были проанализированы 250 крупнейших энергетических компаний США, представляющих различные подсекторы, включая электроэнергетику и коммунальные услуги, нефть и газ, природные ресурсы и химическую промышленность.
В отчёте говорится, что в энергетическом секторе наблюдаются различные уровни эффективности кибербезопасности. В целом, энергетическая отрасль США получила оценку «B» по методологии рейтинга Scorecard, что считается хорошим или достойным. Эти рейтинги учитывают ряд областей кибербезопасности.
Полная версия отчёта представлена по ссылке.



