SecurityScorecard tarafından daha önce yayınlanan verilere göre, Financial Times Stock Exchange’in (FTSE) Britanya’nın en yüksek sermayeye sahip firmalarını sıraladığı 100 listesinde yer alan 100 kuruluştan 97’si, Mart 2023 ile Mart 2024 arasında üçüncü taraf tedarik zinciri veri ihlali olayına maruz kaldı. Her yıl düzenlenen Infosec Avrupa fuarı.
Tedarik zinciri saldırıları sırasında ortaya çıkan bulgular, özellikle kritik ulusal altyapının (CNI) güvenliğiyle ilgili olarak siber güvenlik tartışmalarına yön vermeye devam ederken, yalnızca önde gelen kuruluşların değil, tüm kuruluşların karşı karşıya olduğu sorunun boyutunu ortaya koyuyor.
SecurityScorecard, FTSE 100’ün kendi ön kapılarını koruma konusunda iyi bir performans sergilediğini (listelenen kuruluşların yalnızca %12’si geçen yıl kendileri bir ihlal bildirdi) bunun sonucunda da rakiplerin içeri girmek için başka yollar araması gerektiğini, bunun da genellikle üçüncü sistemler anlamına geldiğini söyledi. -teknoloji veya diğer hizmetlerin taraf tedarikçileri.
Firma, bir şirketin siber güvenlik gücünün, en küçük tedarikçisinin bile gücüyle doğrudan bağlantılı olduğunu vurgulamak istediğini belirterek, bu tür firmaları farkında olmadan bir Truva Atı olarak kullanmanın, birden fazla katmana sahip tanınmış bir organizasyonu doğrudan tehlikeye atmaktan çok daha kolay olduğu konusunda uyardı. kontroller ve tam teşekküllü bir güvenlik operasyon merkezi (SOC).
SecurityScorecard’ın Kuzey Avrupa direktörü Will Gray, “Üçüncü taraf risk yönetimi, herhangi bir güçlü siber güvenlik programının önemli bir bileşenidir ve bu raporda temsil edilen şirketler, bunu bir öncelik haline getirmekten fayda sağlayacaktır” dedi.
“Birleşik Krallık’taki ve bir bütün olarak Avrupa’daki sektörler ve kuruluşların, DORA’nın uygulanmasına hazır olmaları için şimdi daha fazlasını yapmaları gerekiyor. [Digital Operational Resilience Act] Ocak 2025’e kadar ve NIS2 Direktifi.
“Avrupa genelinde veri ihlallerinin artması, Birleşik Krallık şirketlerinin hâlâ üçüncü taraf risk yönetimi yapması gerektiğini gösteriyor [TPRM] Gray, yalnızca güvenlik programlarının değil aynı zamanda satıcı seçim süreçlerinin de ayrılmaz bir bileşenidir” diye ekledi.
Karışık resim
Tedarik zinciri saldırılarına maruz kalma potansiyellerinin ötesinde, Birleşik Krallık’ın en iyi performans gösteren şirketleri Avrupalı emsallerine göre çok daha güçlü siber güvenlik duruşlarına sahip olma eğilimindeydi; SecurityScorecard’ın tescilli derecelendirme metriğinde A’dan C’ye kadar en yüksek üç notta %76 puan aldı. Fransa’da %60, İtalya’da %59 ve Almanya’da %66. Ayrıca, en yüksek A notuna sahip Birleşik Krallık kuruluşlarının %85’i geçen yıl ihlal edilmemişti.
CNI’ya yönelik tehditlerden endişe duyanlar için ne mutlu ki, Birleşik Krallık’taki en güvenli sektör enerji ve temel malzemelerdi (madencilik ve hammaddeler); geçen yıl yalnızca %12 ve %16’sı üçüncü taraf ihlali yaşadı ve hiçbir kuruluş C notu almadı. sınıf veya altında. Finansal hizmetler sektörü de iyi performans gösterdi; yalnızca %5’i C veya daha düşük not aldı. Ancak iletişim sektöründe çalışan kuruluşların yapacak çok işi var; %70’i C veya daha düşük not aldı.
En iyi performans gösterenler aynı zamanda güvenliği iyi bir şekilde karşılayabilen, piyasa değeri en yüksek olan en zengin şirketlerdir. Değeri 29 milyar doların üzerinde olan 25 Birleşik Krallık kuruluşundan yalnızca yüzde 12’si C veya altı notu alırken, diğer 75 kuruluşta bu oran yüzde 28’e yükseldi.