SecurityScorecard ve The Cyentia Institute’a göre, kuruluşların yüzde 98’inin son iki yılda güvenlik ihlali yaşamış en az bir üçüncü tarafla satıcı ilişkisi var. Çalışma ayrıca, kuruluşların yüzde 50’sinin son iki yılda ihlal edilmiş en az 200 dördüncü taraf satıcıyla dolaylı ilişkisi olduğunu da ortaya koydu.
SecurityScorecard CEO’su Aleksandr Yampolskiy, “Bir kuruluşun saldırı alanı, sahip oldukları veya kontrol ettikleri teknolojinin ötesine geçiyor” dedi. “Kuruluşların, bir kuruluşun güvenlerini hak edip etmediğini anında anlayabilmeleri ve riski azaltmak için proaktif adımlar atabilmeleri için tüm üçüncü ve dördüncü taraf ekosistemlerinin güvenlik derecelendirmelerinin görünürlüğüne ihtiyacı var.”
Dünya çapında 235.000’den fazla (birincil) kuruluştan ve 73.000’den fazla satıcıdan ve bunlar tarafından doğrudan (üçüncü taraflar) veya tedarikçileri tarafından kullanılan (dördüncü taraflar) ürünlerden alınan verileri analiz eden çalışma, modern dijital tedarik zincirlerinin karşılıklı bağımlılığının kurumsal siber risk maruziyetini nasıl etkilediği.
Sahip olduğunuz üçüncü ve dördüncü taraflar arttıkça güvenlik de zarar görür
Tedarik zincirlerindeki her üçüncü taraf satıcı için, kuruluşlar genellikle bunun 60 ila 90 katı kadar dördüncü taraf ilişkisiyle dolaylı ilişkilere sahiptir. Araştırma, birincil kuruluşla karşılaştırıldığında, üçüncü taraf sağlayıcıların zayıf güvenlik sergileme olasılığının beş kat daha fazla olduğunu gösterdi. Üçüncü taraf satıcıların yaklaşık %10’u, kendi güvenlik duruşları için A derecesi alan kuruluşlar arasında F notu alır.
Bilgi hizmetleri üçüncü şahıslara öncülük eder
Araştırma, Bilgi Hizmetleri sektörünün ortalama 25 satıcıya sahip olduğunu ortaya çıkardı – üçüncü taraf ilişkilerinin sayısı, genel ortalama olan 10’un 2,5 katı. Finans sektörü, ortalama 6,5 üçüncü taraf ilişkisiyle yelpazenin diğer ucundaydı. Sağlık sektöründe kuruluş başına ortalama 15,5 satıcı ve Sigorta sektöründe ortalama 11 satıcı vardı. Baker, “Bu üçüncü taraf ilişkilerinin her biri riske maruz kalmayı temsil ediyor” diye devam etti. “Bazı durumlarda güvenliği ihlal edilmiş üçüncü taraf kodundan, bazılarında ise güvenli olmayan bir barındırma sağlayıcısının kullanımından.”
Verilerin uluslararası üçüncü taraflara ifşa edilmesi düzenleme ve güvenlik gerekliliklerini artırır/h3>
SecurityScorecard, üçüncü taraf ilişkilerinin bölgesel boyutunu incelerken, kuruluşların %59’unun beş veya daha az ülkeden satıcıya sahip olduğunu, kabaca %14’ünün ise 10 veya daha fazla ülkeye yayılan satıcılarla çalıştığını tespit etti.
Wade Baker, “Kuruluşlar, üçüncü ve dördüncü tarafların güvenlik duruşlarına ilişkin tam görünürlüğe sahip olarak, altyapılarında olabilecek siber güvenlik açıklarını gidermek için tedarikçileriyle birlikte çalışabilir ve karşılığında kendi siber risk düzeylerini azaltabilir” dedi. , The Cyentia Enstitüsü’nün ortağı.