سياسات أمن البيانات المتعلقة بأطراف خارجية تزيد 3 مرات احتمالية حصول الشركات على تعويضات لاختراق بياناتها

قال ما يقرُب من ثلاثة أرباع الشركات (71%) التي لديها سياسات توجيهية محدَّدة للشركاء والمقاولين من الباطن، تتعلق باستخدام البيانات وأمنها، إنها تلقّت تعويضات بعد وقوع حوادث إلكترونية أثّرت في الموردين الذين يشاركونها بياناتها. وفي المقابل، قال 22% فقط من الشركات من الحجم نفسه ولكن التي ليس لديها لوائح تنظيمية معمول بها، إنها تلقت مثل تلك التعويضات عقب تعرضها لهجمات أثرت في مورّديها. وأظهرت دراسة أجرتها كاسبرسكي وشملت قادة في أمن تقنية المعلومات نتائج أخرى مثيرة للاهتمام.

وكانت دراسة بحثية أخرى أجرتها “غارتنر” أظهرت أن 71% من الشركات لديها في شبكتها أطراف خارجية أزيد مما كان عليه الحال قبل ثلاث سنوات، متوقعة أن يرتفع هذا العدد مرة أخرى في السنوات الثلاث المقبلة. وتسمح الشركات للمقاولين العاملين من الباطن في كثير من الأحيان بالوصول إلى بياناتها الحساسة وأصول تقنية المعلومات لديها من أجل تمكينهم من الوفاء بالتزاماتهم في العمل.

وكشف تقرير كاسبرسكي لأمن تقنية المعلومات أن 79% من الشركات لديها سياسات خاصة تشرح للشركاء والموردين كيفية التعامل مع الموارد والبيانات المشتركة، وتبيّن لهم العقوبات التي قد يتعرضون لها في حال ارتكابهم انتهاكات تتعلق بأمن هذه الموارد والبيانات. وتبدو مخاوف الشركات منطقية؛ فوِفقًا للدراسة، تُقدَّر الخسائر الناجمة عن حوادث الهجمات بنحو 2.57 مليون دولار في المتوسط، في حين تُعتبر خروقات البيانات من بين أكبر ثلاث مشكلات تواجهها الشركات من ناحية التكلفة. وفي سياق متصل، وجد باحثو كاسبرسكي عددًا من الهجمات المعقدة التي تستهدف سلاسل التوريد، بينها الهجوم المعروف بالاسم ShadowPad.

وتتمثل إحدى المنافع الرئيسة التي تعود على تنفيذ سياسات أمن البيانات المتعلقة بالأطراف الخارجية في كونها تحلّ الإشكاليات المتعلقة بالمسؤولية من خلال تحديد مجالات المسؤولية لكل الأطراف المعنية. وبالتالي، فهو يزيد من فرص حصول الشركة على تعويض من مورد إذا ثبت أنه كان المدخل لوقوع الهجوم الأمني على الشركة.

وأفادت 71% من الشركات التي تتبع وتنفذ سياسات لأمن البيانات متعلقة بالأطراف الخارجية بأنها تلقت تعويضًا ماليًا بعد وقوع حادث أمن رقمي، مقارنة بما نسبته 22% فقط من نظيراتها التي ليس لديها مثل تلك السياسات، التي وجدت الدراسة أنها تُعزّز احتمال تقديم التعويضات حتى إلى الشركات الصغيرة والمتوسطة. وتلقّت 68% من الشركات الصغيرة والمتوسطة التي لديها سياسات أمنية تتعلق بالأطراف الخارجية أموالًا تعويضية عن هجمات تعرضت لها وأثرت في بياناتها، مقارنة بما نسبته 28% فقط ممن ليست لديها سياسات تحدد مسؤوليات الأمن الرقمي مع الموردين والمقاولين.

ولم توضِّح الدراسة ما إذا كانت سياسات الأمن الحماية من اختراق البيانات تؤثر في مدى تواتر هجمات سلاسل التوريد. وتعرّض ما يقرب من ربع الشركات (24%) التي طبقت سياسات لأمن البيانات متعلقة بالأطراف الخارجية إلى خرق للبيانات بسبب حادثة تتعلق بالأمن الرقمي أثّرت في الموردين، وفي المقابل أكّدت تسعة بالمئة فقط من الشركات التي ليس لديها مثل هذه السياسات التوجيهية أنها تعرضت لهجمات.

وقال سيرجي مارتسينكيان رئيس تسويق المنتجات التجارية لدى كاسبرسكي، إن نتائج الدراسة البحثية التي أجرتها شركته “قد تبدو متناقضة إلى حدّ ما” مع ما تقوله الشركات التي لديها سياسات خاصة من أنها تعرّضت أكثر من مرة لهجمات عبر سلاسل التوريد، لكنه أوضح أن الشركات التي لديها شبكات أوسع من المقاولين والموردين “ستُولي هذا المجال مزيدًا من الاهتمام، وتقود إلى إنفاذ العمل وفق إرشادات محددة”، وأضاف: “ومع ذلك، من المرجّح أن تؤدي ضخامة شبكات الأطراف الخارجية إلى حدوث اختراق للبيانات، كما يمكن للشركات التي تتبع سياسات الأطراف الخارجية تحديد أسباب حدوث خرق معيّن بصورة أكثر دقة”.

وتوصي كاسبرسكي باتخاذ الإجراءات الأمنية التالية للحماية من هجمات سلسلة التوريد:

1. التحديث المنتظم لقائمة جميع الشركاء والموردين، والبيانات التي يمكنهم الوصول إليها. مع التأكد من حصولهم فقط على الموارد التي يحتاجون إليها لتنفيذ أعمالهم، واستبعاد الجهات غير المتعاونة في هذا المجال ومنعها من الوصول إلى البيانات والأصول أو استخدامها.
2. تزويد جميع الأطراف الخارجية بالمتطلبات التي يجب عليها اتباعها، مثل ممارسات الامتثال والأمن.
3. تقدّم كاسبرسكي الحلّ Kaspersky Anti Targeted Attack الذي يمكنه في مرحلة مبكرة اكتشاف الهجمات المتقدمة التي قد تمرّ من تحت رقابة حلول الحماية، بما يشمل هجمات سلاسل التوريد.

ويمكن الاطلاع على التقرير الكامل.

نبذة عن الدراسة

شملت دراسة كاسبرسكي العالمية لمخاطر أمن تقنية المعلومات في الشركات، في عامها التاسع، صانعي القرار في مجال تقنية المعلومات. وأجريت في إطار الدراسة ما مجموعه 4,958 مقابلة في 23 دولة، سُئل المشاركون خلالها عن حالة أمن تقنية المعلومات في شركاتهم، وأنواع التهديدات التي يواجهونها والتكاليف التي يتعين عليهم التعامل معها عند التعافي من الهجمات. وأجريت الدراسة في أمريكا اللاتينية وأوروبا وأمريكا الشمالية وآسيا المحيط الهادئ والصين واليابان وروسيا والشرق الأوسط وتركيا وإفريقيا.