Quatro em cada cinco (80%) organizações foram notificadas de uma vulnerabilidade ou ataque em sua cadeia de suprimentos de software nos últimos 12 meses, de acordo com uma nova pesquisa da BlackBerry.
A pesquisa, que ouviu 1.500 tomadores de decisão de TI e líderes de segurança cibernética na América do Norte, Reino Unido e Austrália, revela um impacto significativo dos ataques à cadeia de suprimentos nas empresas. Daqueles que foram notificados de tal ataque, mais da metade sofreu interrupção operacional (58%), perda de dados (58%), perda de propriedade intelectual (55%) e perda de reputação (52%). Quase metade (49%) sofreu perdas financeiras.
Além disso, mais de um terço (37%) levou até um mês para se recuperar de uma vulnerabilidade explorada em sua cadeia de suprimentos de software, com 53% se recuperando em uma semana. Uma em cada dez empresa (10%) levou até três meses para se recuperar.
Christine Gadbsy, vice-presidente de segurança de produtos da BlackBerry, disse que pontos cegos são introduzidos onde há falta de visibilidade na cadeia de suprimentos de software, levando às experiências mencionadas relacionadas a paralisações, danos financeiros e de reputação. “A forma como as empresas monitoram e gerenciam a segurança cibernética em sua cadeia de suprimentos de software deve depender de mais do que apenas confiança”, disse ela à Infosecurity.
Uma proporção significativa de organizações disse ter imposto uma série de medidas de segurança recomendadas a seus fornecedores. Os mais proeminentes foram a criptografia de dados (63%), gerenciamento de acesso de identidade (56%) e uma estrutura de acesso privilegiado seguro (50%).
Quase dois terços (62%) dos entrevistados disseram que sua organização exigia que os fornecedores fornecessem um procedimento operacional padrão para atestar seu nível de segurança de sua cadeia de suprimentos. Seguiram-se acordos (51%), relatórios de auditoria de terceiros (46%) e acordos de nível de serviço (40%).
Em relação à frequência com que os fornecedores são auditados em relação às estruturas de controle de segurança, 16% disseram apenas uma vez — durante a integração inicial, 11% a cada dois anos, 29% anualmente e 44% trimestralmente.
Veja isso
52% da cadeia de suprimentos das empresas já foram atacadas
350 mil projetos da cadeia de suprimentos estão sob risco
A esmagadora maioria dos entrevistados (97%) estava muito confiante ou pouco confiante de que seus fornecedores/parceiros podem identificar e impedir a exploração de uma vulnerabilidade em seu ambiente. No entanto, mais de três quartos (77%) admitiram que foram informados de um membro de sua cadeia de fornecedores que não conheciam anteriormente e monitoravam as práticas de segurança.
No caso de uma violação de terceiros, uma maioria expressiva dos entrevistados concorda que a velocidade das comunicações é fundamental (62%) e preferiria um sistema de gerenciamento de eventos consolidado para entrar em contato com as partes interessadas de segurança interna e parceiros externos (63%). No entanto, menos de um em cada cinco (19%) possui esse tipo de sistema de comunicação.
Os profissionais de segurança cibernética pesquisados consideraram os produtores de software de código aberto como o aspecto de sua cadeia de suprimentos em que tinham menos confiança em relação à segurança cibernética (30%). Seguiram-se fornecedores de soluções financeiras/e-payment (25%) e fornecedores de software de terceiros (21%).
Quase três quartos (72%) dos entrevistados disseram também que queriam maior supervisão governamental do software de código aberto, enquanto 71% gostariam de ferramentas para melhorar o inventário de bibliotecas de software em sua cadeia de suprimentos e fornecer maior visibilidade ao software afetado por uma vulnerabilidade.