A BlueVoyant kutatása szerint a digitális ellátási láncok védelme továbbra is szignifikáns üzleti kihívást jelent
A tanulmány szerint a megkérdezett vállalatok 98%-a állítja, hogy negatívan érintette ellátási láncuk kiberbiztonságának sérülése, ami 2021-hez képest növekedést jelent
A belső és külső kibervédelem területén iparágvezető BlueVoyant mai sajtóeseményén bemutatta legfrissebb kutatásának megállapításait. A vállalat harmadik alkalommal kiadott Az ellátási lánc kiberkockázat-kezeléséről szóló éves globális jelentésének (The State of Supply Chain Defense: Annual Global Insights Report)1eredményeit a Magyarországon másfél éve jelenlévő kiberbiztonsági vállalat szakértői ismertették.
Trendek és megoldások a kiberbiztonságban
Az eseményen Rácz György Róbert, a cég Európáért felelős elnöke és a BlueVoyant Magyarország ügyvezető igazgatója röviden felvázolta a 2023-as kiberbiztonsági trendeket, amely szerint a jövő évben biztosan velünk maradnak az egyre sikeresebb zsarolóvírusok és a pénzügyi vagy politikai célú támadások, és felhívta a figyelmet a felhőmegoldások stratégiai kibervédelmének fokozott szükségére is. Egyed Péter, az európai biztonsági műveleti központ (SOC) vezetője bemutatta a kivételes szakértői tudásra épülő budapesti operációs központ egyedülálló felépítését és megoldásait, amellyel a BlueVoyant gyors és hatékony védelmet nyújthat a régió és a világ más területein működő vállalatainak az online térben.
Az ellátási lánc kiemelt kockázati forrás
A friss kutatás eredményei kapcsán a BlueVoyant képviselői kihangsúlyozták , hogy a vállalatok védelme ezen a téren még korántsem teljes. A felmérésből kiderül, hogy a megkérdezett cégek 98%-át érintette negatívan az ellátási láncukban bekövetkezett kiberbiztonsági incidens. A teljes ellátási láncon belül is a digitális ellátási láncot alkotó külső beszállítók a legkockázatosabbak, hiszen ezek a hálózati hozzáférésükön keresztül közvetlenül veszélyeztetik a vállalat kiberbiztonságát. A kutatás alapján az ellátási láncok kiberbiztonsági kockázata nem csökkent, sőt, minden eddiginél több vállalkozás számolt be arról, hogy az ellátási láncukban bekövetkezett kiberbiztonsági zavarok negatívan érintették a működésüket.
A felmérés további fontos eredményei a következők:
- A válaszadók 40%-a bízik abban, hogy a beszállítója maga is gondoskodik a megfelelő biztonságról.
- 2021-ben2 a vállalatok 53%-a mondta, hogy évente több mint kétszer világította át a beszállítóit kiberbiztonsági szempontból, ez az arány 2022-ben 67%-ra javult. Az adatok a valós időben monitorozó vállalatokat is tartalmazzák.
- A vállalatok 84%-a mondta, hogy növelte az ellátási láncának védelmére fordított költségvetését.
- A megkérdezett cégek számára a legnagyobb kihívásokat a szabályozási követelményeknek való megfelelés, a beszállítókkal a biztonsági kérdésekben való együttműködés, valamint annak a vállalati szintű megértése jelenti, hogy a beszállítókat is a szervezet kibervédelmének részeként kezeljék.
A felmérés eredményei is rámutatnak, hogy a hagyományos, általában kérdőív alapú kockázatértékelő módszerek már nem működnek. A BlueVoyant azt javasolja a vállalatoknak, hogy az önbevallás helyett egy tényeken alapuló, közel valós idejű kiértékelési rendszert hozzanak létre, valamint implementálják működésükbe a kockázatok elhárítását célzó folyamatokat.
A különböző ágazatokban működő cégek válaszai jelentősen eltérő tapasztalatokat mutatnak az ellátási lánc kockázatával kapcsolatban:
- Míg az egészségügyi és gyógyszeripari ágazat 42%-kal a harmadik helyen állt abban a tekintetben, hogy mekkora figyelmet fordítanak az ellátási láncok kibervédelmére, ebben az ágazatban a legkisebb a valószínűsége annak, hogy növelik az ellátási lánc kiberbiztonságának megerősítését segítő külső erőforrásokra fordított költségvetésüket. Valamint ez a szektor tartja a legkevésbé valószínűnek (34%), hogy ne tudnának arról, ha egy harmadik fél kibervédelmével kapcsolatban probléma merül fel.
- Az energiaipari vállalatok számoltak be a legnagyobb százalékban (99%) arról, hogy az elmúlt évben legalább egy, az ellátási láncot érintő incidens negatív hatást gyakorolt működésükre. Ugyanakkor 49%-uk rendszeresen vagy valós időben nyomonköveti az ellátási lánc kiberkockázatait, 44%-uk pedig havonta vagy gyakrabban tájékoztatja erről a felső vezetést is. Ezen túlmenően az energetikai vállalatok a kutatás szerint átlagosan 60%-kal tervezik növelni az ellátási lánc kibervédelmére szánt költségvetésüket.
- A gyártóvállalatok esetében a válaszadók 64%-a szerint nyomonkövetik az ellátási lánc kiberkockázatát, és 44%-uk nyilatkozott úgy, hogy integrált vállalati kockázatkezelési programot is létrehoztak.
Régiós adatok és az európai szabályozási környezet
Az Európai Tanács 2022. novemberében fogadta el a NIS2 (hivatalos nevén az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről, valamint az (EU) 2016/1148 irányelv hatályon kívül helyezéséről szóló Európai Parlament és Tanács irányelv) rendelettervezetet, amely az uniós intézmények, hivatalok, szervek és ügynökségek egységesen magas szintű kiberbiztonságát hivatott garantálni.
„Nem meglepő, hogy az Európai Unió szükségét látja egy, a korábbinál szigorúbb feltételeket tartalmazó szabályozásnak, hiszen ahogy a kelet-közép-európai országokat vizsgáló kutatásunkból is kiderült, csupán a vállalatok 21%-a kezelte prioritásként az ellátási lánc kibervédelmi megfelelőségét. Ennek megfelelően a NIS2 szabályozás jelentősen kibővíti a kötelezettek körét, a nem kritikus szolgáltatást nyújtó mikro-, és kisvállalkozásokon kívül minden állami és magánszervezetre vonatkozik” – mondta el Csendes Balázs, a BlueVoyant kelet-közép-európai és a közel-keleti térségekért felelős értékesítési igazgatója.
A Kiberkockázat kezelése a beszállítói ökoszisztémában – közép- és kelet-európai jelentés: Lengyelország, Magyarország és a Cseh Köztársaság (Managing Cyber Risk Across the Extended Vendor Ecosystem Central and Eastern Europe Report: Poland, Hungary, and Czech Republic) című tanulmány rávilágított arra is, hogy a cégek csupán 5%-a monitorozza beszállítóit, miközben 98%-uk szenvedett el valamilyen kibervédelmi incidenst a beszállítók gyenge védelme miatt. 2022-ben a vizsgált vállalatok 66%-a mondta, hogy nem monitorozzák beszállítóikat.
1 A tanulmányt az Opinion Matters független kutatószervezet készítette, és 2100 technológiai vezető (CTO), biztonsági vezető (CSO), üzemeltetési vezető (COO), informatikai vezető (CIO), információbiztonsági vezető (CISO) és beszerzési vezető (CPO) véleményét és tapasztalatait rögzítette, akik az ellátási láncért és a kiberkockázatok kezeléséért felelősek a különböző iparágak több mint 1000 főt foglalkoztató szervezeteiben. Ezek közé tartoznak: üzleti szolgáltatások, pénzügyi szolgáltatások, egészségügyi és gyógyszeripari, gyártási, közüzemi és energetikai, valamint védelmi ágazatok. A felmérés 11 országra terjedt ki: Egyesült Államok, Kanada, Németország, Ausztria, Svájc, Franciaország, Hollandia, az Egyesült Királyság, Ausztrália, a Fülöp-szigetek és Szingapúr.
2 A 2021-es kutatást szintén az Opinion Matters végezte, és 1200, hasonló vállalkozásoknál és azonos iparágakban dolgozó CTO/CSO/COO/CIO/CISO/CPO véleményét és tapasztalatait rögzítette. Hat országra terjedt ki a kutatás: Egyesült Államok, Kanada, Németország, Hollandia, Nagy-Britannia és Szingapúr. Ezt követte két további európai jelentés, amelynek keretében 2022 januárjában további 450 válaszadót kérdeztek meg Európa-szerte. Az így összesen 1650 válaszadó közül 225 Lengyelországból, Magyarországról és a Cseh Köztársaságból került ki.