Kaspersky: risico van delen data met toeleveranciers groeit

07-10-2021 | door: Martijn Kregting

Kaspersky: risico van delen data met toeleveranciers groeit

Voor een Europees bedrijf bedraagt de gemiddelde financiële impact van een cybersecurity-incident dit jaar 1,7 miljoen euro (2 miljoen dollar). Daarmee is dit het vijfde duurste type incident voor Europese bedrijven. Op wereldwijd niveau was de gemiddelde financiële impact van zo’n aanval dit jaar 1,2 miljoen euro (1,4 miljoen dollar) en staat daarmee wereldwijd op de eerste plaats van duurste type incident.

Dat blijkt uit de nieuwste editie van Kaspersky's jaarlijkse IT Security Economics-rapport. Uit het rapport komt de toenemende ernst naar voren van cybersecurity-incidenten die bedrijven treffen via leveranciers met wie ze gegevens delen. De algemene rangorde van verliezen als gevolg van verschillende soorten aanvallen is sinds 2020 daarnaast volgens het Kaspersky-rapport aanzienlijk veranderd.

Bedrijven vaker getroffen via toeleveranciers

Aanvallen waarbij wereldwijd actieve bedrijven via hun toeleveranciers worden getroffen, zijn een duidelijke trend geworden. Bedrijfsgegevens worden doorgaans gedeeld met meerdere derde partijen, zoals dienstverleners, partners, leveranciers en dochterondernemingen. Daarom moeten organisaties volgens Kaspersky niet alleen rekening houden met de cybersecurityrisico's die hun IT-infrastructuur treffen, maar ook met de risico's die van buitenaf kunnen komen.

Volgens het rapport is bijna een derde (28%) van de grote Europese organisaties inmiddels slachtoffer geweest van aanvallen waarbij gegevens zijn gedeeld met leveranciers. Dit aantal is niet significant veranderd sinds het rapport van 2020 (29%).

Aanvalstypen met een hogere financiële impact zijn DDoS aanvallen (1,7 miljoen euro / 2 miljoen dollar), ongepast gebruik van IT-middelen door werknemers (1,8 miljoen euro / 2 miljoen dollar), ransomware-aanvallen (1,8 miljoen euro / 2,1 miljoen dollar) en cryptomining-aanvallen (1,9 miljoen euro / 2,2 miljoen dollar).

Minder impact mkb, meer voor grote bedrijven

Opmerkelijk is volgens Kaspersky dat de gemiddelde financiële impact van een aanval voor het Europese mkb is afgenomen, daar waar dit voor grote Europese organisaties juist is toegenomen. Voor het mkb was dit een daling van 3 procent - €82k ($95k) in 2021 versus €85k ($98k) in 2020. Voor grote organisaties was er een opmerkelijke stijging van 31 procent ten opzichte van vorig jaar – €947k ($1.1m) in 2021 versus € ($839k) in 2020 – terwijl het gemiddelde in 2017 €807k ($938K) bedroeg.

Wereldwijd is dezelfde trend te zien als bij het Europese mkb en daalde de gemiddelde impact van €938k ($1,09 miljoen) in 2020 naar €799k ($927k) in 2021, nog lager dan het gemiddelde in 2017 (€855k / $992k). De mogelijke reden is dat eerdere investeringen in preventie- en risicobeperkende maatregelen goed uitpakten voor bedrijven. Een andere mogelijkheid is dat de gemiddelde kosten worden beïnvloed door het feit dat bedrijven dit jaar minder geneigd waren om datalekken te melden: 34 procent van de wereldwijde bedrijven slaagde erin om dat niet te doen, vergeleken met slechts 28 procent in 2020. Financieel kwetsbare bedrijven zijn wellicht terughoudend om tijd en geld te steken in een strafrechtelijk onderzoek of reputatieschade te riskeren als een inbreuk bekend wordt.

Rekening houden met risico delen gegevens

Evgeniya Naumova, Executive VP, Corporate Business bij Kaspersky, stelt dat de ernst van cyberaanvallen duidelijk maakt dat organisaties bij de beoordeling van de cybersecuritybehoeften van hun bedrijf rekening moeten houden met het risico van een inbreuk op gedeelde gegevens met leveranciers. "De pandemie heeft het bedreigingslandschap veranderd en organisaties moeten klaar zijn om zich daaraan aan te passen."

Bedrijven moeten volgens Naumova hun leveranciers rangschikken op basis van het soort werk dat ze doen en de complexiteit van de toegang die ze krijgen (of ze nu omgaan met gevoelige gegevens en infrastructuur of niet), en in overstemming daarmee securityvereisten toepassen.

"Bedrijven moeten alleen gegevens delen met betrouwbare derde partijen en hun bestaande security-eisen uitbreiden tot leveranciers. In het geval van de overdracht van gevoelige gegevens of informatie betekent dit dat alle documentatie en certificeringen (zoals SOC 2) van leveranciers moeten worden gevraagd om te bevestigen dat zij op een dergelijk niveau kunnen werken. In zeer gevoelige gevallen raden we bovendien aan om een voorafgaande compliance-audit van een leverancier uit te voeren voordat een contract wordt ondertekend."

Terug naar nieuws overzicht