80% das empresas tiveram a cadeia de suprimentos afetada

Estudo revela que quatro em cada cinco organizações foram notificadas de uma vulnerabilidade ou ataque a sua cadeia de suprimentos de software nos últimos 12 meses
Da Redação
27/10/2022

Quatro em cada cinco (80%) organizações foram notificadas de uma vulnerabilidade ou ataque em sua cadeia de suprimentos de software nos últimos 12 meses, de acordo com uma nova pesquisa da BlackBerry. 

A pesquisa, que ouviu 1.500 tomadores de decisão de TI e líderes de segurança cibernética na América do Norte, Reino Unido e Austrália, revela um impacto significativo dos ataques à cadeia de suprimentos nas empresas. Daqueles que foram notificados de tal ataque, mais da metade sofreu interrupção operacional (58%), perda de dados (58%), perda de propriedade intelectual (55%) e perda de reputação (52%). Quase metade (49%) sofreu perdas financeiras.

Além disso, mais de um terço (37%) levou até um mês para se recuperar de uma vulnerabilidade explorada em sua cadeia de suprimentos de software, com 53% se recuperando em uma semana. Uma em cada dez empresa (10%) levou até três meses para se recuperar.

Christine Gadbsy, vice-presidente de segurança de produtos da BlackBerry, disse que pontos cegos são introduzidos onde há falta de visibilidade na cadeia de suprimentos de software, levando às experiências mencionadas relacionadas a paralisações, danos financeiros e de reputação. “A forma como as empresas monitoram e gerenciam a segurança cibernética em sua cadeia de suprimentos de software deve depender de mais do que apenas confiança”, disse ela à Infosecurity.

Uma proporção significativa de organizações disse ter imposto uma série de medidas de segurança recomendadas a seus fornecedores. Os mais proeminentes foram a criptografia de dados (63%), gerenciamento de acesso de identidade (56%) e uma estrutura de acesso privilegiado seguro (50%).

Quase dois terços (62%) dos entrevistados disseram que sua organização exigia que os fornecedores fornecessem um procedimento operacional padrão para atestar seu nível de segurança de sua cadeia de suprimentos. Seguiram-se acordos (51%), relatórios de auditoria de terceiros (46%) e acordos de nível de serviço (40%).

Em relação à frequência com que os fornecedores são auditados em relação às estruturas de controle de segurança, 16% disseram apenas uma vez — durante a integração inicial, 11% a cada dois anos, 29% anualmente e 44% trimestralmente.

Veja isso
52% da cadeia de suprimentos das empresas já foram atacadas
350 mil projetos da cadeia de suprimentos estão sob risco

A esmagadora maioria dos entrevistados (97%) estava muito confiante ou pouco confiante de que seus fornecedores/parceiros podem identificar e impedir a exploração de uma vulnerabilidade em seu ambiente. No entanto, mais de três quartos (77%) admitiram que foram informados de um membro de sua cadeia de fornecedores que não conheciam anteriormente e monitoravam as práticas de segurança.

No caso de uma violação de terceiros, uma maioria expressiva dos entrevistados concorda que a velocidade das comunicações é fundamental (62%) e preferiria um sistema de gerenciamento de eventos consolidado para entrar em contato com as partes interessadas de segurança interna e parceiros externos (63%). No entanto, menos de um em cada cinco (19%) possui esse tipo de sistema de comunicação.

Os profissionais de segurança cibernética pesquisados ​​consideraram os produtores de software de código aberto como o aspecto de sua cadeia de suprimentos em que tinham menos confiança em relação à segurança cibernética (30%). Seguiram-se fornecedores de soluções financeiras/e-payment (25%) e fornecedores de software de terceiros (21%).

Quase três quartos (72%) dos entrevistados disseram também que queriam maior supervisão governamental do software de código aberto, enquanto 71% gostariam de ferramentas para melhorar o inventário de bibliotecas de software em sua cadeia de suprimentos e fornecer maior visibilidade ao software afetado por uma vulnerabilidade.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)