Hackeri sa aj naďalej zameriavajú na tretie strany (dodávateľov, poskytovateľov služieb, biznis partnerov) s cieľom získať prístup k údajom zákazníkov (obchodnému tajomstvu, príp. osobným údajom zamestnancov). Pretrvávajúce narušenia bezpečnosti poukazujú na riziko spojené s tretími stranami a na potrebu dôkladne kontrolovať ich postupy a opatrenia týkajúce sa informačnej bezpečnosti.

Úniky údajov z nedávnej histórie – z roku 2023 vyberáme:

• V marci spoločnosť LinkedIn odhalila únik údajov, ktorý sa týkal 700 miliónov používateľov, keď hackeri zneužili zraniteľnosť v softvérovej knižnici tretej strany, ktorú platforma sociálnych médií využíva.
• V auguste potom hackeri napadli dodávateľa, ktorý poskytoval služby londýnskej Metropolitnej polícii, a stiahli mená, hodnosti, fotografie, úrovne previerok a platy policajtov a zamestnancov.
• V septembri austrálsky maloobchodný predajca kníh Dymocks oznámil únik údajov v spoločnosti spravujúcej jeho vernostný program, ktorý viedol ku krádeži údajov 1,2 milióna jeho zákazníkov.
• Minulý mesiac spoločnosť Okta, poskytovateľ cloudových riešení na správu identít a prístupu so sídlom v San Franciscu uviedla, že incident u externého dodávateľa spravujúceho potreby zdravotného poistenia zamestnancov viedol ku krádeži osobných údajov 4 961 jej súčasných a bývalých zamestnancov.

Všetky tieto nedávno medializované udalosti opäť potvrdzujú, že je mimoriadne dôležité, aby organizácie dôsledne monitorovali svoj dodávateľský reťazec, predovšetkým dodávateľov, predajcov a ďalšie tretie strany, ktoré majú prístup do ich internej siete, alebo disponujú ich dôvernými dátami.

Dôsledky majú často formu reťazovej reakcie. Napríklad odhalené informácie o zamestnancoch ich môžu urobiť náchylnými na cielený phishing a podvody s falošnou identitou, čo môže viesť k ďalšiemu odcudzeniu údajov alebo peňazí. Ba čo viac, tieto podvody môžu byť využité na získanie autentizačných údajov zamestnancov, čo umožní ďalšie poškodenie spoločnosti.

Z výskumu spoločnosti Astra, ktorá sa zaoberá kybernetickou bezpečnosťou v cloude v Spojených štátoch vyplýva, že viac ako polovica podnikov si riadne nepreveruje svojich dodávateľov ani ďalšie tretie strany. Takmer polovica podnikov uviedla, že je to zložité a časovo náročné, a len približne tretina spoločností začala s automatizáciou takéhoto procesu.

Hoci dôsledky narušení bezpečnosti tretích strán môžu byť významné pre subjekty ako Okta, Dymocks a LinkedIn, ako aj pre dotknuté zainteresované strany týchto spoločností, útoky môžu mať za následok obrovské reputačné a finančné škody aj pre tretie strany samotné.

V Austrálii bola tento rok napadnutá spoločnosť Pareto Phone. Táto spoločnosť prevádzkovala call centrá a pôsobila ako dodávateľ charitatívnych organizácií. Incident viedol k strate údajov darcov a spoločnosti Pareto sa táto udalosť stala osudnou, keď v dôsledku straty reputácie musela ukončiť svoju činnosť. V Spojených štátoch bolo spoločnosti Blackbaud Inc., poskytovateľovi softvéru pre sektory filantropie, zdravotníctva a vzdelávania, nedávno nariadené zaplatiť 49,5 milióna USD na urovnanie žaloby, ktorú podali jej klienti a ich darcovia po incidente v roku 2020.

Riešenie – identifikácia rizík úniku údajov

Je nevyhnutné, aby organizácie komplexne identifikovali všetky tretie strany, od ktorých závisí ich činnosť, nielen tie, ktoré pracujú s dátami zákazníkov. Následne by mali posúdiť, ktoré z týchto subjektov majú prístup k dovareným údajom a či je takýto prístup oprávnený a dostatočne ošetrený z hľadiska informačnej bezpečnosti. Neoddeliteľnou súčasťou stratégie kybernetickej bezpečnosti organizácie by malo byť priebežné monitorovanie tretích strán z hľadiska zraniteľností a proaktívny prístup k náprave.

Naša spoločnosť Avris poskytuje komplexnú škálu služieb, ktoré pomôžu zvýšiť úroveň ochrany vo vašej firme. Viac tu: INFORMAČNÁ BEZPEČNOSŤ