0
0
Terceiros são uma parte necessária dos negócios da maioria das organizações. Eles geralmente fornecem serviços cruciais – como faturamento, armazenamento de dados ou, por vezes, serviços críticos de missão – tornando-se uma parte indispensável da empresa estendida de uma empresa.
Infelizmente, isso também faz de terceiros, como fornecedores, parceiros e fornecedores, um alvo para criminosos cibernéticos. Violações de terceiros estão se tornando cada vez mais comuns. Uma pesquisa recente realizada pelo Instituto Ponemon e divulgada via Security Boulevard, descobriu que 53% das organizações sofreram uma ou mais violações de dados causadas por terceiros, custando-lhes uma média de US$ 7,5 milhões para remediar.
Qual é o impacto de uma violação de dados de terceiros? Embora o impacto fiscal seja bem documentado, as violações de dados de terceiros são mais do que simplesmente o custo do dólar de um ataque cibernético. Abaixo estão cinco maneiras que violações de terceiros podem afetar seus negócios.
1. O impacto financeiro
Violações de dados são caras, não importa qual parte seja violada. De acordo com o relatório Custo de uma Violação de Dados da Ponemon,a violação média de dados custa US$ 3,92 milhões, e o custo médio por registro perdido é de US$ 150. Isso é apenas a média, no entanto. Há fatores que podem fazer com que esse número aumente. Um desses amplificadores de custo é quem causou a brecha. Se um terceiro está envolvido, uma violação custa mais. De acordo com o relatório, se um terceiro causar a violação de dados, o custo tende a aumentar — em mais de US$ 370.000, por um custo total médio ajustado de US$ 4,29 milhões.
As razões por trás do custo das violações de terceiros diferem dependendo da situação e das empresas envolvidas. Mas o custo de uma violação de dados de terceiros pode decorrer de custos ocultos — como ter que encontrar outro provedor enquanto seu fornecedor crítico de missão está comprometido — bem como os danos monetários usuais e taxas legais de uma violação de dados normal.
2. As consequências legais
Quando a American Medical Collection Agency (AMCA), uma agência de faturamento que serviu como provedor terceirizado para grandes prestadores de cuidados de saúde em todo os EUA, foi violada em 2019, milhões de registros de pacientes foram expostos. A violação colocou a AMCA e seus clientes em violação da HIPAA. Embora a violação tenha sido devastadora para a organização que a sofreu — a AMCA perdeu seus maiores clientes e pediu falência — também expôs seus clientes a ações coletivas caras e investigações estaduais.
A moral da história: se o seu terceiro sofrer uma violação de dados,você pode (e provavelmente será responsabilizado) pelos registros de qualquer cliente que sejam expostos como resultado da violação.
3. A exposição de suas informações proprietárias
Os criminosos cibernéticos não estão apenas atrás de fundos ou informações dos clientes. Eles podem estar atrás de sua propriedade intelectual. Veja os exemplos do DoppelPaymer, um ransomware de roubo de dados, ou ransomware REvil, dois ransomwares que bloqueiam uma empresa de seus dados e depois ameaçam vender os dados se o resgate não for pago.
O DoppelPaymer tem como alvo fornecedores da indústria espacial e de defesa, e lista dados proprietários expostos em seu site para envergonhar as organizações que não pagaram. Este é um problema embaraçoso e caro para qualquer organização, mas pode ser o fim de qualquer empresa que prospere em inovação.
4. O potencial para ataques futuros
Quando os criminosos cibernéticos acessam seus dados através de terceiros, essa violação pode não ser o seu objetivo. Pode ser simplesmente o tiro de abertura em uma campanha maior de hacks, ataques e violações, ou as informações roubadas podem ser destinadas a uso em golpes de phishing ou outras fraudes.
Tomemos o exemplo de uma grande corporação que foi violada através de um prestador de serviços terceirizado em fevereiro passado. Os criminosos cibernéticos tiveram acesso a informações pessoais, mas não tocaram nos sistemas da corporação. Essa informação pode ser usada em ataques posteriores.
5. O dano à sua reputação
Infelizmente, quando se trata de violações e registros expostos, não importa se o seu fornecedor é culpado, ou se a culpa é sua. O que os clientes se lembrarão é que confiaram suas informações e foram posteriormente expostas ou roubadas. Se a brecha for terrível o suficiente, eles podem pensar duas vezes antes de fazer negócios com sua organização novamente.
Como o SecurityScorecard pode ajudar
A melhor maneira de se proteger contra uma violação de dados de terceiros é fazendo sua devida diligência quando se trata de seus fornecedores, um processo que leva tempo e energia. Para reduzir o tempo administrativo e o esforço gasto na gestão de relacionamentos de terceiros,considere uma ferramenta que automatize partes do processo.
O Atlas do SecurityScorecard usa inteligência artificial avançada para agilizar o processo de gerenciamento de riscos de terceiros. Usando nossa plataforma, suas organizações podem enviar respostas de fornecedores para questionários. Nosso aprendizado de máquina compara essas respostas com questionários anteriores e as análises da própria plataforma, verificando as respostas dos fornecedores quase imediatamente. Nossas classificações de segurança fáceis de ler, com base em uma escala A-F, permitem que você forneça à sua liderança a documentação necessária para provar a governança sobre seu programa de gerenciamento de riscos de fornecedor.
FONTE: SECURITY SCORECARD