Bemutatta a sajtónak a BlueVoyant az ellátási láncok kiberkockázatainak kezelését vizsgáló globális jelentését. A kutatáshoz, melyet idén is az Opinion Matters készített, 11 országban 2100 technológiai vezetőt (CTO, CSO, COO, CIO, CISO CPO) kérdeztek meg.

A The State of Supply Chain Defense: Annual Global Insights Report (a teljes jelentés itt tölthető le) szerint a vállalatok ellátási láncának védelme hiányos: a válaszadó cégek 98 százaléka számolt be arról, hogy voltak negatív következményei az ellátási láncukat érő kiberbiztonsági incidenseknek. A teljes láncon belül elsősorban azok a külső beszállítók jelentik a legnagyobb kockázatot, melyek hálózati hozzáférésükön keresztül közvetlenül veszélyeztethetik a vállalat kiberbiztonságát. Ugyanakkor a cégek sok esetben beszállítóik védelmi rendszereire hagyatkoznak: 40 százalékuk bízik abban, hogy a beszállítója maga is gondoskodik a megfelelő biztonságról.

Az éberség azonban némileg fokozódik. 2021-ben még csak a vállalatok 53 százaléka mondta, hogy évente több mint kétszer világította át beszállítóit kiberbiztonsági szempontból. Arányuk 2022-ben 67 százalékra nőtt – és persze közülük vannak olyan szervezetek is, melyek valós időben monitorozzák ellátási láncukat. Az is az éberség fokozódását mutatja, hogy a vállalatok 84 százaléka növelte az ellátási láncának védelmére fordított költségvetését.

A megkérdezett cégek számára ugyanakkor továbbra is három terület jelenti a legnagyobb kihívást: a szabályozási követelményeknek való megfelelés, a beszállítókkal a biztonsági kérdésekben való együttműködés, valamint annak a vállalati szintű elfogadása jelenti, hogy a beszállítókat a szervezet kibervédelmének részeként kell kezelni.

Iparáganként eltérő a felkészültség

A kutatás eredményeiből néhány iparági jellegzetesség is kiderül. Az egészségügyi és gyógyszeripar csak a harmadik abban az ágazati összevetésben, amely azt vizsgálta, hogy egy iparág cégei átlagosan mekkora figyelmet fordítanak az ellátási láncok kibervédelmére. Mégis ebben az iparágban a legkisebb a valószínűsége annak, hogy egy vállalat növeli az ellátási lánca kiberbiztonságának megerősítését segítő külső erőforrásokra fordított költését. Ez valószínűleg azzal függ össze, hogy a szektor cégei tartják a legkevésbé valószínűnek, hogy ne szerezzenek tudomást arról, ha egy harmadik fél kibervédelmével kapcsolatban probléma merül fel.

Az energiaipari vállalatoknak 49 százaléka valós időben követi az ellátási lánc kiberkockázatait, 44 százalékuk legalább havonta tájékoztatja is a felső vezetést az aktuális helyzetről. Ennek ellenére messze ez a szektor a legkitettebb (vagy a legőszintébb): 99 százalékuk mondta, hogy az elmúlt évben történt legalább egy olyan incidens az ellátási láncában, amelynek hatását a vállalat is megérezte. Valószínűleg ezzel is összefügg, hogy a szektor vállalatai átlagosan 60 százalékkal tervezik növelni ellátási láncuk kibervédelmére szánt költségvetésüket.

A gyártóvállalatok 64 százaléka követi nyomon az ellátási lánc kiberkockázatát, és közel felük (44 százalék) integrált vállalati kockázatkezelési programot is kialakított.

Az Unió szigorított

A sajtótájékoztatón Csendes Balázs, a BlueVoyant kelet-közép-európai és a közel-keleti térségekért felelős értékesítési igazgatója kitért arra, hogy a problémákat EU-s szinten is érzékelik. Az Európai Parlament és az Európai Tanács 2022 novemberében fogadta el a NIS 2 irányelv tervezetét, amely egységesíti a tagállami szabályozást, és már nem korlátozódik a kritikus infrastruktúrákra. Hatálya alá kerülnek például a nyilvános elektronikus hírközlési és digitális szolgáltatók, a szennyvíz- és hulladékgazdálkodási vállalatok, a kritikus termékek gyártói, a postai és futárszolgálatok is.

Csendes Balázs szerint "nem meglepő, hogy az Európai Unió szükségét látja egy, a korábbinál szigorúbb feltételeket tartalmazó szabályozásnak, hiszen ahogy a kelet-közép-európai országokat vizsgáló kutatásunkból is kiderült, csupán a vállalatok 21 százaléka kezelte prioritásként az ellátási lánc kibervédelmi megfelelőségét". Egy Csehországban, Lengyelországban és Magyarországon lefuttatott kutatás szerint a három országban a cégeknek csupán az 5 százaléka monitorozza beszállítóit, miközben 98 százalékuknál volt valamilyen kiberbiztonsági incidens a beszállítók gyenge védelme miatt.