由于企业缺乏对供应商的了解,全球供应链很脆弱

蓝天使 发布了其第二次年度全球调查的结果 第三方网络风险管理.该研究表明,97% 的接受调查的公司受到其供应链中发生的网络安全漏洞的负面影响。

供应链脆弱

93% 的人承认他们遭受了直接的网络安全漏洞,因为 他们供应链的弱点 过去 12 个月的平均违规次数从 2020 年的 2.7 次增加到 2021 年的 3.7 次——同比增长 37%。

该研究由 Opinion Matters 进行,记录了 1200 名 CIO、CISO 和首席采购官的观点和经验,这些组织的员工超过 1000 名,涉及的行业包括:商业服务、金融服务、医疗保健和制药、制造、公用事业和能量, 防御.它涵盖了六个国家:美国、加拿大、德国、荷兰、英国和新加坡。

公司仍未优先考虑其脆弱的供应链

  • 只有 13% 的公司表示第三方网络风险不是优先事项,与去年相比有所下降,当时有 22% 的公司表示供应链和第三方网络风险不在他们的关注范围内。
  • 公司评估供应商的频率逐年下降:47% 的供应商安全审计或报告每年不超过两次,而 2020 年为 32%。
  • 38% 的受访者表示他们无法知道第三方供应商的网络安全何时或是否出现问题,而去年为 29%。
  • 91% 的人表示 2021 年第三方网络风险管理的预算会增加,而 81% 的人在 2020 年这么说。

对研究结果的评论 亚当·比克斯勒, 第三方网络风险管理全球负责人, 蓝天使,说:“尽管我们看到对这个问题的认识不断提高,但违规行为和由此产生的负面影响仍然高得惊人,而持续监控的流行率仍然很低。第三方网络风险只有通过向高级管理团队和董事会进行明确和频繁的简报才能成为战略重点。

“只要它仍然是一个每年只讨论一两次或更少讨论的项目,那么从战略角度来看,网络风险管理将继续疲软,直到不可避免的网络事件泄漏数据、中断运营或使公司陷入困境。”

虽然预算增加,但公司仍面临多个痛点

预算增长规模的报告几乎与去年的数字完全吻合。 29% 的公司报告预算从 26-50% 增加; 42% 报告增加了 51-100%,17% 报告增加了 100% 或更多。总体而言,91% 的受访者计划增加预算。

然而,这些不断增加的投资的协调程度尚不清楚。接受调查的公司报告的痛点分布几乎相同:管理误报、管理数据量、确定风险优先级、了解自己的风险状况等。公司报告了如此多的问题这一事实表明,更大的预算尚未导致足够的风险降低。

亚当·比克斯勒 继续说道:“预算的增加表明,公司意识到需要投资于网络安全和供应商风险管理。然而,广泛而一致的一系列痛点表明,这项投资并没有达到应有的效果。这与缺乏可见性、监控和高层报告有关,强调在处理第三方网络风险时缺乏战略,不幸的是,这只会导致更多的违规行为。”

不同行业的差异

对来自不同商业部门的回应的分析显示,他们对第三方网络风险的体验存在很大差异:

  • 商业服务部门的网络安全或风险团队人数最多,因此最有可能每天监控第三方风险。
  • 医疗保健行业表现出最高的第三方网络风险意识,55% 的人表示识别风险是关键优先事项,而平均比例为 42%。然而,该行业也报告了高数据泄露,在过去 12 个月中,有 29% 报告了 6-10 次泄露,而平均比例为 19%。
  • 制造业受访者最不可能将供应链/第三方网络安全风险确定为关键优先事项,并且最有可能仅每年报告一次。

亚当·比克斯勒 评论道:“我们的研究表明,全球垂直行业、供应链和供应商中存在大量未知的第三方网络风险,并且组织经常遇到供应商引发的违规行为。虽然预算在增加,但关键问题是资金应该用于何处以产生切实影响以减少 第三方网络风险.缺乏可见性、战略和监控意味着情况在得到适当关注之前不太可能改善。”

蓝天使 首席执行官吉姆·罗森塔尔 (Jim Rosenthal) 总结道:“每隔几周或几个月审核或评估一次您的供应链不足以领先于敏捷、持续的攻击者。对新发现的关键漏洞的持续监控和快速行动需要成为有效的第三方风险管理的必要条件。”




分享这个