Około 75% wszystkich odnotowanych naruszeń bezpieczeństwa cybernetycznego, które powstały za pośrednictwem strony trzeciej, miało miejsce po tym, jak inne podmioty w państwie ofiary łańcuch dostaw systemu i technologii zostały zaatakowane – wynika z nowych statystyk opublikowanych dzisiaj przez platformę wywiadu cybernetycznego SecurityScorecard.
Naruszenia dokonane przez strony trzecie stanowią około 29% wszystkich naruszeń zarejestrowanych przez Karta wyników bezpieczeństwa Dane pokazują, iż w 2023 r., chociaż biorąc pod uwagę znaczne zaniżenie liczby wektorów ataków, jest to najprawdopodobniej znaczne zaniżenie prawdziwej liczby.
W ostatnich latach luki w zabezpieczeniach łańcuchów dostaw technologii okazały się niezwykle cenne dla cyberprzestępców – ponieważ naruszenia na dużą skalę obejmujące platformy i usługi obsługiwane przez wielkie nazwy, takie jak Kasia, Oprogramowanie postępu I SolarWinds zademonstrowali. Do takiej sytuacji doszło w dużej mierze dzięki temu, iż kompromis w technologii dostawcy umożliwia podmiotom zagrażającym atakowanie klientów na dalszym etapie łańcucha dostaw przy minimalnym wysiłku.
„Ekosystem dostawców jest wysoce pożądanym celem dla grup zajmujących się oprogramowaniem ransomware. Ofiary włamań przez strony trzecie często nie są świadome incydentu, dopóki nie otrzymają wiadomości o okupie, co daje atakującym czas na infiltrację setek firm bez wykrycia” – powiedział Ryan Sherstobitoff, starszy wiceprezes ds. badań i wywiadu w SecurityScorecard.
Z danych SecurityScorecard wynika, iż w zeszłym roku ataki na łańcuch dostaw były zdominowane w szczególności przez jednego ugrupowania zagrażającego, ekipę systemu ransomware Clop (znanego również jako Cl0p), która odpowiadała za 64% możliwych do przypisania naruszeń stron trzecich, a następnie LockBit, który potrafił jedynie zarządzać 7%. Było to oczywiście napędzane przez Clop/Cl0p dramatyczny i szeroko zakrojony kompromis narzędzia MOVEit firmy Progress Software wykorzystującego krytyczną, załataną lukę dnia zerowego CVE-2023-34362.
Pomiędzy nimi MOVEit i dwie inne luki, Krwawienie Citrixa i Proself – system przechowywania plików używany głównie w Japonii – były zaangażowane w 77% wszystkich naruszeń stron trzecich, w których wyszczególniono lukę.
Duże cele
Opieka zdrowotna i usługi finansowe okazały się sektorami najbardziej ofiarami naruszeń ze strony osób trzecich, w tym ataków na łańcuch dostaw, przy czym 35% zaobserwowanej liczby ataków uderza w specjalistów w dziedzinie zdrowia, a 16% w usługi finansowe.
Branża zdrowotna może być szczególnie narażona na ataki stron trzecich ze względu na tendencję sektora do polegania na złożonych ekosystemach relacji, w których wielu dostawców uczestniczy w różnych etapach cyklu opieki nad pacjentem – szczególnie na sprywatyzowanych rynkach opartych na ubezpieczeniach, takich jak jak Stany Zjednoczone, ale w pewnym stopniu także w NHS.
Większość zaobserwowanych naruszeń, bo 64%, miała miejsce w Ameryce Północnej, z czego 63% przypadało na Stany Zjednoczone. Zaledwie 9% miało miejsce w Europie, przy czym 3% w Wielkiej Brytanii, 22% w regionie APAC i 4% w Australii. Analitycy SecurityScorecard ostrzegają, iż określenie różnic geograficznych może być trudniejsze ze względu na koncentrację dostawców zabezpieczeń i mediów informacyjnych na rynkach takich jak USA, Australia i Wielka Brytania.
Poza światem anglojęzycznym Japonia doświadczyła znacznie wyższego wskaźnika naruszeń przez strony trzecie (i przyczyniła się do dużej liczby incydentów odnotowanych w regionie APAC). Prawdopodobnie wynika to ze znacznego uzależnienia od partnerstw międzynarodowych w głównych gałęziach przemysłu Japonii i prawdopodobnie jest po części dziedzictwem tradycyjnego keiretsu model biznesowy, który doprowadził do powstania złożonej, współzależnej sieci przedsiębiorstw w Japonii.
Do ważnych keiretsusów zalicza się Mitsubishi, które oprócz tytułowych biznesów obsługuje także producenta aparatów fotograficznych Nikon i browar Kirin; oraz Sumitomo, którego członkami są producent samochodów Mazda i firma elektroniczna NEC.
Ryzyko stron trzecich dotyczy każdego
Mimo iż w Wielkiej Brytanii – w porównaniu z Japonią i USA – doszło do niewielkiej liczby naruszeń, nie ma usprawiedliwienia dla żadnej organizacji nie zwracać uwagi na ryzyko osób trzecich; według danych 98% organizacji ma w tej chwili relacje ze stroną trzecią, w przypadku których doszło w pewnym momencie do naruszenia, a według firmy Gartner koszt usunięcia takiego naruszenia jest zwykle znacznie wyższy niż koszt usunięcia naruszenia wewnętrznego w niektórych przypadkach aż o 40%.
„W epoce cyfrowej zaufanie jest synonimem bezpieczeństwa cybernetycznego. Firmy muszą poprawić odporność, wdrażając ciągłe, oparte na wskaźnikach i dostosowane do potrzeb biznesowych zarządzanie ryzykiem cybernetycznym w swoich ekosystemach cyfrowych i ekosystemach zewnętrznych” – powiedział dyrektor generalny i współzałożyciel SecurityScorecard Aleksandr Yampolskiy.
