SecurityScorecard heeft de bevindingen bekendgemaakt van het onderzoek 2024 Redefining Resilience: Concentrated Cyber Risk in a Global Economy Research, in samenwerking met McKinsey & Company. Het dreigingsonderzoek onthult een extreme concentratie van cyberrisico’s bij slechts 15 leveranciers, die ernstige bedreigingen vormen voor de nationale veiligheid en de wereldeconomieën. Het onderzoek beschrijft ook een toename van het aantal tegenstanders die kwetsbaarheden van derden misbruiken om de heimelijkheid, snelheid en impact van cyberaanvallen in de toeleveringsketen te maximaliseren.
Dr. Aleksandr Yampolskiy, CEO en medeoprichter van SecurityScorecard, verklaart: “Net als een onzeker huis aan de rand van een klif, vormt de afhankelijkheid van een handvol leveranciers de basis van onze wereldeconomie. De vraag die we ons moeten stellen is: ‘Hebben we een bedrijfskritische service geconcentreerd bij één leverancier, waardoor we een single point of failure creëren?”
Kwetsbaarheden van derden verspreiden zich als een digitale bosbrand
Bedreigingsonderzoekers gebruikten het SecurityScorecard-platform om de cyberrisico’s van de toeleveringsketen van ongeveer 12 miljoen organisaties in kaart te brengen. De belangrijkste bevindingen zijn
- 150 bedrijven zijn goed voor 90% van de technologische producten en diensten over het wereldwijde aanvalsoppervlak.
- 41% van deze bedrijven had bewijs van ten minste één gecompromitteerd apparaat in het afgelopen jaar.
- 11% had bewijs van een ransomware-infectie in het afgelopen jaar.
- 62% van het wereldwijde externe aanvalsoppervlak is geconcentreerd in de producten en diensten van slechts 15 bedrijven.
- De top 15 van derde partijen heeft een lager dan gemiddelde risicobeoordeling voor cyberbeveiliging – wat duidt op een grotere kans op een inbreuk.
- Ransomware-exploitanten C10p, LockBit en BlackCat richten zich systematisch en op grote schaal op kwetsbaarheden van derden. Binnen vijf minuten na het aansluiten van een apparaat dat op internet is aangesloten, hebben door de staat gesponsorde dreigingsactoren het gevonden.
Alleen al de schaal van deze bedrijven vergroot hun risico op compromittering, waardoor ze aanzienlijke risico’s voor derden vormen voor hun uitgebreide klantenbestand. Zelfs voor de meest robuuste beveiligingsteams vormt de verdediging van enorme aanvalsoppervlakken een enorme uitdaging. Hoewel deze bedrijven te allen tijde een onberispelijke beveiliging moeten handhaven, hoeven aanvallers slechts gebruik te maken van één kwetsbaarheid binnen hun uitgebreide aanvalsoppervlak.
Onderneem actie om u te beschermen tegen risico’s van derden
Volgens McKinsey besteden bedrijven honderdduizenden dollars per jaar aan het beheren van cyberrisico’s binnen hun ecosysteem van leveranciers en derden en miljoenen aan cyberprogramma’s. Toch is hun miljardenbedrijf slechts zo goed als de cyberveiligheid van hun kleinste leverancier.
Het beperken van de cyberveiligheid in de toeleveringsketen vereist vier belangrijke stappen:
- Identificeer single points of failure
- Het externe aanvalsoppervlak voortdurend bewaken
- Nieuwe leveranciers automatisch detecteren
- Cyberbeveiligingsbeheer van leveranciers operationaliseren
Charlie Lewis, Partner bij McKinsey, voegt hieraan toe: “De onderlinge verbondenheid van ons digitale landschap vereist een verschuiving in de manier waarop bedrijven denken over de risico’s van hun cyber-ecosysteem – het gaat niet langer alleen om uw eigen veerkracht, u moet ook kijken naar het bredere systeem en hoe u wederzijdse steun kunt opbouwen met collega’s, concurrenten en uw leveranciers.”
Download de SecurityScorecard 2024 Redefining Resilience: Concentrated Cyber Risk in a Global Economy Research
