Підприємства дедалі більше страждають від інцидентів кібербезпеки постачальників, з якими вони обмінюються даними, показує останній звіт Kaspersky IT Security Economics Report. А це може бути дорогим, як показують поточні цифри.
Середній фінансовий вплив інциденту на велику європейську компанію минулого року склав XNUMX мільйони доларів США, що робить цей вид інциденту найдорожчим.
Бізнес-дані поширюються на практиці
Бізнес-дані зазвичай поширюються між багатьма сторонніми особами, включаючи постачальників послуг, партнерів, постачальників і афілійованих осіб, тому кіберзлочинці все частіше націлюються на них. Тому організаціям необхідно враховувати не лише ризики кібербезпеки, що впливають на їх власну ІТ-інфраструктуру, а й ті, які можуть надходити ззовні їх власної організації.
Згідно з опитуванням Kaspersky, понад чверть (28 відсотків) великих компаній у Європі постраждали від атак на дані, які надаються постачальникам. Ця цифра не сильно змінилася з 2020 року, коли вона становила 29 відсотків. Фінансовий ефект також такий же, як і минулого року, а саме два мільйони доларів.
Змінився сценарій нападу
Більшість інших типів атак мають менші фінансові наслідки, включаючи фізичну втрату пристроїв, що належать компанії (1,2 мільйона доларів США), атаки на криптомайнінг (1,2 мільйона доларів США) або неправильне використання ІТ-ресурсів співробітниками (1,2-й XNUMX мільйона доларів США).
Наприклад, середній фінансовий вплив атаки на європейську компанію становив 1,1 мільйона доларів США у 2021 році порівняно з 839.000 2020 доларів США у 1,09 році. Однак цей показник зменшився на міжнародному рівні: з 2020 мільйона доларів США у 927.000-2021 роках до XNUMX XNUMX доларів США у XNUMX році. Можлива причина це те, що інвестиції, зроблені в заходи із запобігання та стримування, тепер окупаються компаніям.
Однак на середню вартість також міг вплинути той факт, що цього року компанії рідше повідомляли про порушення даних: згідно з опитуванням Kaspersky, 41 відсоток у Європі уникав цього, порівняно з лише 2020 відсотками у 33 році. Фінансово вразливі компанії можуть не захотіти витрачати час і гроші на кримінальне розслідування або на потенційну шкоду своїй репутації публічно оприлюдненим порушенням.
Розширити вимоги безпеки до постачальників
«Суворість атак дає зрозуміти, що компанії повинні враховувати ризик порушення законодавства про захист даних під час обміну даними з постачальниками, оцінюючи власні вимоги до кібербезпеки», — коментує Крістіан Мілде, керуючий директор Kaspersky у Центральній Європі. «Компанії повинні класифікувати своїх постачальників на основі характеру їхньої роботи та складності того, що вони отримують — незалежно від того, мають вони справу з конфіденційними даними та інфраструктурою чи ні — і відповідним чином запроваджувати вимоги безпеки. Вони повинні гарантувати, що вони обмінюються даними лише з надійними третіми сторонами та поширюють свої існуючі вимоги безпеки на постачальників. У випадку конфіденційних даних або інформації це означає, що всю документацію та сертифікати, такі як SOC2, слід вимагати від постачальників, щоб підтвердити, що вони також працюють на цьому рівні. У дуже делікатних випадках ми також рекомендуємо провести попередній аудит відповідності постачальника перед підписанням контракту».
Більше інформації про витрати на ІТ-безпеку та бюджети для компаній у 2021 році доступні за допомогою інтерактивного калькулятора безпеки інформаційних технологій Kaspersky.
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/