Viện Ponemon đã khảo sát hơn 1.000 CISO và các chuyên gia bảo mật và rủi ro khác ở Mỹ và Anh để hiểu những thách thức mà các công ty phải đối mặt trong việc bảo vệ thông tin nhạy cảm và bí mật được chia sẻ với các nhà cung cấp và đối tác bên thứ ba.
Theo các phát hiện, 59% các công ty cho biết họ đã trải qua ít nhất một sự vi phạm dữ liệu do một trong những nhà cung cấp của họ hoặc các bên thứ ba gây ra. Tại Mỹ, tỷ lệ này thậm chí còn cao hơn ở mức 61% – tăng 5% so với nghiên cứu của năm ngoái và tăng 12% kể từ năm 2016.
Hơn nữa, nhiều vi phạm không bị phát hiện: 22% người được hỏi thừa nhận họ không biết liệu họ có vi phạm dữ liệu từ bên thứ ba trong 12 tháng qua hay không. Nhìn chung, hơn ba phần tư các tổ chức tin rằng sự cố an ninh mạng của bên thứ ba đang gia tăng.
Một yếu tố góp phần quan trọng là sự phức tạp ngày càng tăng của bối cảnh tham gia từ bên thứ ba. Các công ty tiếp tục tăng sự phụ thuộc của họ vào các bên thứ ba và trung bình, chia sẻ thông tin bí mật và nhạy cảm với khoảng 583 bên thứ ba. Tuy nhiên, chỉ có 34% giữ một bản kiểm kê toàn diện của các bên thứ ba này, một thống kê thậm chí còn tồi tệ hơn cho thấy các biên bản kiểm kê của các bên thứ n còn thấp hơn hẳn, chỉ ở mức 15%.
69% số người được hỏi cho biết rằng việc thiếu kiểm soát tập trung là lý do chính để không có hàng tồn kho toàn diện. Các lý do chính khác bao gồm thiếu tài nguyên và sự phức tạp của các mối quan hệ của bên thứ ba.
Hơn nữa, ít hơn một nửa số công ty nói rằng quản lý rủi ro cho mối quan hệ của bên thứ ba là có hiệu quả và được ưu tiên trong tổ chức của họ. Chỉ có 37% cho thấy rằng họ có đủ nguồn lực để quản lý các mối quan hệ của bên thứ ba và chỉ có 35% tỷ lệ chương trình quản lý rủi ro của bên thứ ba của họ có hiệu quả cao. Hơn một nửa các công ty không biết liệu các biện pháp bảo vệ nhà cung cấp của tổ chức của họ có đủ để ngăn chặn vi phạm hay không.
“Hệ sinh thái của bên thứ ba là một môi trường lý tưởng cho bọn tội phạm mạng tìm cách thâm nhập vào một tổ chức, và rủi ro chỉ phát triển khi các mạng này trở nên lớn hơn và phức tạp hơn”, Dov Goldman, Phó chủ tịch, Sáng tạo & Liên minh của Opus nói. “Để tránh các nguy cơ này, các công ty và giám đốc điều hành cần cộng tác với nhau và đưa ra các kế hoạch phát hiện và giảm thiểu rủi ro từ bên thứ ba, đồng thời hỗ trợ công nghệ tự động và thực hành quản trị mạnh mẽ.”
Nghiên cứu cũng bao gồm một phân tích đặc biệt của những tổ chức đã có thể tránh được sự vi phạm dữ liệu của bên thứ ba trong 12 tháng qua (36%) hoặc chưa bao giờ bị vi phạm (32%). Các tổ chức có hiệu suất cao này đã triển khai các biện pháp quản trị CNTT và bảo mật tốt nhất có liên quan chặt chẽ với việc giảm tỷ lệ vi phạm dữ liệu của bên thứ ba, bằng cách:
Hơn nữa, nhiều vi phạm không bị phát hiện: 22% người được hỏi thừa nhận họ không biết liệu họ có vi phạm dữ liệu từ bên thứ ba trong 12 tháng qua hay không. Nhìn chung, hơn ba phần tư các tổ chức tin rằng sự cố an ninh mạng của bên thứ ba đang gia tăng.
Một yếu tố góp phần quan trọng là sự phức tạp ngày càng tăng của bối cảnh tham gia từ bên thứ ba. Các công ty tiếp tục tăng sự phụ thuộc của họ vào các bên thứ ba và trung bình, chia sẻ thông tin bí mật và nhạy cảm với khoảng 583 bên thứ ba. Tuy nhiên, chỉ có 34% giữ một bản kiểm kê toàn diện của các bên thứ ba này, một thống kê thậm chí còn tồi tệ hơn cho thấy các biên bản kiểm kê của các bên thứ n còn thấp hơn hẳn, chỉ ở mức 15%.
69% số người được hỏi cho biết rằng việc thiếu kiểm soát tập trung là lý do chính để không có hàng tồn kho toàn diện. Các lý do chính khác bao gồm thiếu tài nguyên và sự phức tạp của các mối quan hệ của bên thứ ba.
Hơn nữa, ít hơn một nửa số công ty nói rằng quản lý rủi ro cho mối quan hệ của bên thứ ba là có hiệu quả và được ưu tiên trong tổ chức của họ. Chỉ có 37% cho thấy rằng họ có đủ nguồn lực để quản lý các mối quan hệ của bên thứ ba và chỉ có 35% tỷ lệ chương trình quản lý rủi ro của bên thứ ba của họ có hiệu quả cao. Hơn một nửa các công ty không biết liệu các biện pháp bảo vệ nhà cung cấp của tổ chức của họ có đủ để ngăn chặn vi phạm hay không.
“Hệ sinh thái của bên thứ ba là một môi trường lý tưởng cho bọn tội phạm mạng tìm cách thâm nhập vào một tổ chức, và rủi ro chỉ phát triển khi các mạng này trở nên lớn hơn và phức tạp hơn”, Dov Goldman, Phó chủ tịch, Sáng tạo & Liên minh của Opus nói. “Để tránh các nguy cơ này, các công ty và giám đốc điều hành cần cộng tác với nhau và đưa ra các kế hoạch phát hiện và giảm thiểu rủi ro từ bên thứ ba, đồng thời hỗ trợ công nghệ tự động và thực hành quản trị mạnh mẽ.”
Nghiên cứu cũng bao gồm một phân tích đặc biệt của những tổ chức đã có thể tránh được sự vi phạm dữ liệu của bên thứ ba trong 12 tháng qua (36%) hoặc chưa bao giờ bị vi phạm (32%). Các tổ chức có hiệu suất cao này đã triển khai các biện pháp quản trị CNTT và bảo mật tốt nhất có liên quan chặt chẽ với việc giảm tỷ lệ vi phạm dữ liệu của bên thứ ba, bằng cách:
- Đánh giá thực hành bảo mật và quyền riêng tư của tất cả các bên thứ ba – Tiến hành đánh giá và đánh giá thường xuyên để nắm được khả năng thực hành bảo mật và quyền riêng tư của bên thứ ba.
- Kiểm tra Khoảng không quảng cáo của tất cả các bên thứ ba mà bạn chia sẻ thông tin – Theo dõi tất cả các bên thứ ba có quyền truy cập vào dữ liệu nhạy cảm và số lượng các bên này đang chia sẻ dữ liệu này với những người khác.
- Thường xuyên xem xét các chính sách và chương trình quản lý của bên thứ ba – Thực hiện các quy trình chính thức để đánh giá thường xuyên các hoạt động bảo mật và quyền riêng tư của các bên thứ ba và thứ N, đặc biệt để giải quyết các công nghệ đổi mới như thiết bị Internet of Things.
- Thông báo khi dữ liệu được chia sẻ với bên thứ ba – Yêu cầu bên thứ ba cung cấp thông tin và minh bạch cho mối quan hệ hợp tác của họ trước khi chia sẻ dữ liệu nhạy cảm.
- Giám sát bởi ban giám đốc – Có sự tham gia của lãnh đạo cấp cao và ban giám đốc trong các chương trình quản lý rủi ro của bên thứ ba. Sự chú ý cấp cao đối với rủi ro của bên thứ ba có thể làm tăng ngân sách có sẵn để giải quyết các mối đe dọa này.
Giám đốc điều hành Larry Ponemon nhận xét: “Trong khi các giám đốc điều hành của công ty hiểu được tác động của việc vi phạm dữ liệu hoặc các cuộc tấn công mạng đến doanh nghiệp của họ, thì họ ít nhận thức được nguồn gốc của các cuộc tấn công này và các lỗ hổng mà tổ chức của họ cần phải giải quyết để bảo mật dữ liệu của chính họ”. “Xem xét sự tăng trưởng bùng nổ của các dịch vụ công nghệ thuê ngoài và sự gia tăng khối lượng dữ liệu chia sẻ của các bên thứ ba, các công ty cần phải kiểm soát việc tiếp xúc của bên thứ ba và thực hiện các biện pháp bảo vệ để giảm thiểu tính dễ bị tấn công của toàn bộ dữ liệu, đặc biệt là những dữ liệu nhạy cảm của họ”.
