Согласно глобальному исследованию кибербезопасности, проведенному SecurityScorecard, в прошлом году цепочки поставок программного обеспечения стали объектом 75% атак сторонних программ-вымогателей, а киберзлоумышленники массово используют уязвимости в технологиях цепочек поставок , сообщает allinsurance.kz .
«Уязвимости в цепочке поставок технологий позволяют злоумышленникам масштабировать свои операции с минимальными усилиями», — предупреждает американская компания по оценке кибербезопасности.
Публикуя свой глобальный отчет о нарушениях кибербезопасности третьих сторон, SecurityScorecard отмечает, что на долю Северной Америки в 2023 году пришлось 64% взломов третьих сторон, в то время как на Европу пришлось только 9%. SecurityScorecard показывает, что в Японии зафиксирован значительно более высокий уровень нарушений с использованием сторонних векторов атак — 48%.
«Являясь центром автомобилестроения, производства, технологий и финансовых услуг, японские компании сталкиваются со значительным киберриском в цепочке поставок из-за международной зависимости», — говорится в отчете.
SecurityScorecard определяет группу киберпреступников C10p как ответственную за 64% взломов третьих сторон в 2023 году, вызванных атакой MOVEit, за которой следует LockBit с 7%. На атаку MOVEit пришлось 61% всех сторонних взломов в прошлом году.
«Одной из причин широкого распространения нулевого дня MOVEit было то, что он позволял использовать сторонние, четвертые и даже сторонние компрометации», — говорит SecurityScorecard.
В отчете также говорится, что по состоянию на 2021 год 75% организаций признают, что их программы управления рисками третьих сторон выполняются вручную. «Компании должны работать над автоматизацией идентификации поставщиков и управления киберрисками во всей своей цифровой экосистеме», — говорится в отчете.
По данным SecurityScorecard, здравоохранение и финансовые услуги являются секторами, наиболее пострадавшими от взломов третьих сторон: на здравоохранение приходится 35% от общего числа нарушений, а на финансовые услуги приходится 16%.
Райан Шерстобитофф, старший вице-президент по исследованию угроз и аналитике Security Scorecard, говорит: «Экосистема поставщиков является очень желанной целью для групп, занимающихся вымогательством. Жертвы взлома третьих сторон часто не знают об инциденте, пока не получат сообщение о вымогательстве, что дает злоумышленникам время проникнуть в сотни компаний, не будучи обнаруженными».
Доктор Александр Ямпольский, генеральный директор и соучредитель SecurityScorecard, добавляет: «В эпоху цифровых технологий доверие является синонимом кибербезопасности. Компании должны повысить устойчивость путем внедрения непрерывного, основанного на показателях и ориентированного на бизнес управления киберрисками в своих цифровых и сторонних экосистемах».
Источник аllinsurance.kz