0
0
Alguns dos ataques mais prolíficos a empresas e organizações governamentais em 2021 foram causados por vulnerabilidades rastreadas a fornecedores terceirizados. A ameaça, tornada mais real por ataques de alto perfil como Kaseya e outros, está estimulando muitas organizações a reavaliar como conduzem negócios com parceiros.
Em um estudo realizado no outono de 2021 pela CyberRisk Alliance Business Intelligence e patrocinado pela Security Scorecard, 91% dos 250 tomadores de decisão de TI e segurança cibernética e influenciadores norte-americanos entrevistados relataram um incidente de segurança relacionado a um parceiro terceirizado no ano passado. Quinze por cento relataram 20 ou mais incidentes relacionados com parceiros. Um engenheiro sênior de TI do setor de seguros se preocupou em “ficar à frente dos riscos [de terceiros] como eles estão vindo para nós tão rapidamente”. Uma contrapartida na área da saúde observou: “Muitos parceiros, não há recursos suficientes para gerenciar.”
As empresas que trabalham em serviços financeiros eram mais propensas a relatar um incidente cibernético envolvendo uma violação de terceiros. Isso provavelmente pode ser atribuído ao fato de que o setor de serviços financeiros tem sido um alvo frequente de cibercriminosos, e é fortemente regulado com diretrizes rigorosas para relatar esses incidentes às autoridades.
A pandemia e o movimento de trabalho remoto também apresentaram desafios adicionais de segurança. Os empregadores deram aos funcionários acesso seguro a redes e bancos de dados remotamente, às vezes via Wi-Fi público ou redes domésticas desprotegidas. Seus fornecedores e empreiteiros foram desafiados da mesma forma. A sobreposição com esses desafios do COVID foi um aumento nos incidentes de segurança de terceiros durante os últimos 12 meses para dois terços dos entrevistados.
Com os incidentes de segurança cibernética em ascensão, é compreensível que as organizações queiram reduzir sua exposição ao risco quando se trata de fornecedores e contratados. Praticamente todos os participantes da pesquisa registraram algum nível de preocupação. A maioria estava leve (20%) ou moderadamente (40%) preocupada, enquanto 27% estavam muito preocupadas com a ameaça representada, particularmente aqueles que trabalham na área da saúde. A conformidade regulatória era a prioridade máxima para a saúde, enquanto aqueles que trabalham no setor público estavam mais preocupados com os tempos de remediação. As seguradoras eram mais propensas a se preocupar com parcerias e cadeias de suprimentos, e os provedores de serviços financeiros classificaram as avaliações de risco e o monitoramento remoto como a maior preocupação.
No setor de saúde, 32% dos entrevistados estavam seriamente preocupados com ameaças de terceiros, que eram maiores do que outros setores. De fato, as apostas são maiores na saúde, onde um dispositivo médico comprometido pode danificar mais do que os sistemas de TI ou a reputação de um sistema de saúde. As gangues de ransomware há muito visam sistemas hospitalares regionais, sabendo que uma interrupção no serviço pode ser mortal. Além disso, os registros de pacientes roubados são mais valiosos do que os financeiros na dark web.
Em uma nota mais encorajadora, o relatório encontrou um alto número de organizações comunicando riscos ou incidentes de segurança de TI de terceiros para seus conselhos. Entre os pesquisados, 73% mantiveram sua diretoria informada, e outros 17% pretendiam começar a fornecer essas informações no próximo ano.
FONTE: SC MAGAZINE