İyi savunulan dijital tesislere ve uç noktalara sahip olmasına rağmen (yeni sekmede açılır)birçok firma, güvenli olmayan farklı satıcılar ve üçüncü taraflarla çalıştıkları için siber saldırı riski altındadır.
Bu, dünya çapında 235.000’den fazla kuruluşun yanı sıra kullandıkları 73.000 satıcı ve ürünü analiz eden siber güvenlik derecelendirme şirketi SecurityScorecard’ın yeni bir raporuna göre, neredeyse tüm firmaların (%98) en az bir üçüncü tarafla satıcı ilişkisine sahip olduğunu ortaya koyuyor. son iki yılda bir veri ihlaline maruz kalan.
Dahası, kuruluşların yarısının son iki yılda siber saldırıya uğrayan en az 200 şirketle (üçüncü taraf satıcılar tarafından kullanıldığı gibi) dolaylı ilişkileri var.
Güvenlik için F
Araştırmacılar, bir tedarik zincirindeki her üçüncü taraf satıcı için, işletmelerin genellikle bunun 60 ila 90 katı kadar dördüncü taraf ilişkisiyle dolaylı ilişkilere sahip olduğunu buldu. Üçüncü tarafların zayıf güvenlik sergileme olasılığı beş kata kadar daha fazla olduğundan, risk hızla artar.
Rapor için analiz edilen tüm üçüncü tarafların kabaca onda biri (%10) güvenlik açısından F olarak derecelendirildi.
Farklı sektörlere bakıldığında, bilişim hizmetleri sektöründe ortalama 25 satıcı bulunurken, finans sektöründe ortalama 6,5 bayi bulunmaktadır. Sağlık hizmetlerinde ortalama 15,5 satıcı bulunurken, sigortada 11 satıcı bulunuyor. Her biri orijinal kuruluş için önemli bir risk oluşturuyor.
Tedarik zinciri saldırıları son zamanlarda en yıkıcı siber suç biçimlerinden biri haline geldiğinden, siber suçlular bu gerçeklerin gayet iyi farkında gibi görünüyor. Sadece bir şirketin yazılımının tehlikeye atıldığı ve dünya çapında on binlerce kuruluşun etkilenmesiyle sonuçlanan SolarWinds saldırısı muhtemelen en iyi örnektir.
SecurityScorecard’ın kurucu ortağı ve CEO’su Aleksandr Yampolskiy, “Bir kuruluşun saldırı alanı, sahip oldukları veya kontrol ettikleri teknolojinin ötesine geçiyor” dedi.
“Kuruluşların, bir kuruluşun güvenlerini hak edip etmediğini anında anlayabilmeleri ve riski azaltmak için proaktif adımlar atabilmeleri için tüm üçüncü ve dördüncü taraf ekosistemlerinin güvenlik derecelendirmelerinin görünürlüğüne ihtiyacı var.”