Polskie firmy mają problem z bezpieczeństwem łańcucha dostaw – wynika z badania Business Growth Review na próbie 1018 dużych przedsiębiorstw. Średnia dojrzałość w tym obszarze wynosi zaledwie 3,0 na 5 punktów, a tylko 26,3 proc. firm kompleksowo zarządza ryzykiem dostawców. Dyrektywa NIS2 nakłada obowiązek kontroli całego łańcucha dostaw, a jednocześnie liczba cyberataków rośnie.
Badanie Business Growth Review pokazuje, że bezpieczeństwo dostawców to jedyny obszar cyberbezpieczeństwa, który nie przekracza poziomu 3,0 punktów. Dla porównania polityki i procedury osiągają 3,63, a systemy IAM/MFA/PAM – 3,53.
Oznacza to duże luki w zarządzaniu ryzykiem. Aż 28,8 proc. firm nie zarządza bezpieczeństwem dostawców w ogóle – nie prowadzi audytów ani nie stawia wymagań umownych. Kolejne 44,9 proc. robi to tylko częściowo, bez spójnych procedur.
Firmy nie wiedzą, jak wdrożyć NIS2
Problem pogłębia niepewność regulacyjna. 39,2 proc. firm wskazuje łańcuch dostaw jako największą niewiadomą związaną z wdrażaniem dyrektywy NIS2.
– Wyniki badania potwierdzają to, co obserwuję na co dzień w pracy z organizacjami z większości sektorów objętych NIS2. Faktycznie świadomość rośnie, ale gotowość procesowa jest bardzo nierówna. Najczęściej brakuje spójnego podejścia do zarządzania dostawcami, ryzykiem i incydentami – mówi Cyprian Gutkowski, prawnik, CISO w obszarze finansowym i zdrowia oraz ekspert w firmie Trecom.
Dodaje, że firmy powinny zacząć od identyfikacji ryzyk i uporządkowania procesów, zanim sięgną po rozwiązania technologiczne.
Cyberataki przez łańcuch dostaw rosną
Zagrożenia związane z dostawcami należą do najszybciej rosnących wektorów ataków. Dyrektywa NIS2 uznaje je za jeden z kluczowych obszarów bezpieczeństwa. A tak się składa, że firmy mają problem z reagowaniem na incydenty. Dojrzałość w tym obszarze wynosi 3,21/5 – to drugi najniższy wynik w badaniu.
Aż 38,3 proc. firm nie ma zdefiniowanych progów poważnego incydentu, a co piąta nie posiada procedury raportowania. W praktyce oznacza to opóźnienia w reakcji, mimo że NIS2 wymaga zgłoszenia incydentu w ciągu 24 godzin.
Polecamy również: Pompy ciepła i fotowoltaika a audyt energetyczny – jak zaplanować zieloną modernizację domu
A cyberprzestępcy mogą włamać się do firmowych danych na wiele sposobów. Jednym z nich są urządzenia sieciowe wykorzystywane przez pracowników i firmy. Chodzi tu o routery i inne małe urządzenia, które często są słabo zabezpieczone i rzadziej monitorowane niż infrastruktura przedsiębiorstwa. To czyni je łatwym celem cyberataków.
Jak pokazują analizy Microsoft Threat Intelligence, ataki na routery SOHO (small office and home, czyli urządzenia wykorzystywane w domu i małych biurach) mogą prowadzić do przejęcia ruchu sieciowego i ataków typu DNS hijacking oraz adversary-in-the-middle. Z przejętych urządzeń tworzona jest infrastruktura pozwalająca na podsłuchiwanie ruchu i prowadzenie dalszych ataków, w tym kradzieży danych i poświadczeń.
Braki kadrowe i technologiczne blokują zmiany
Choć niemal jedna trzecia firm opisuje zarządzanie dostawcami jako obszar wymagający wsparcia, deklaracje nie przekładają się na działania. To dlatego że największą barierą są braki kadrowe – wskazuje je 57,3 proc. firm. Oprócz tego problemem jest też niedobór kompetencji prawnych i compliance (41,1 proc.) oraz dług technologiczny (41,8 proc.).
– Braki kadrowe i ograniczony budżet stanowią dla biznesu najistotniejsze bariery wdrożenia NIS2. W tej sytuacji outsourcing zadań związanych z cyberbezpieczeństwem wydaje się najrozsądniejszym rozwiązaniem – mówi Marcin Lebiecki, wiceprezes Asseco Cloud.
Dane pokazują, że zagrożenie jest duże. Dwie na trzy firmy doświadczyły w ostatnich 12 miesiącach przynajmniej jednego poważnego incydentu cybernetycznego. 24,4 proc. przedsiębiorstw odnotowało od trzech do pięciu incydentów, a 11,4 proc. – sześć lub więcej.
Przy tak niskim poziomie zarządzania dostawcami cyberatak jest nieunikniony. To tylko kwestia czasu.