Company structure

Virksomheder med affiliates mere udsatte for cyberangreb

Globale virksomheder med mange affiliates er mere udsat for trusler mod cybersikkerhed og har sværere ved at styre risikoen end virksomheder med ingen eller færre affiliates, ifølge en Osterman Research-rapport bestilt af CyCognito.

Undersøgelsen undersøgte 201 organisationer med mindst 10 affiliates og mindst 3.000 ansatte eller 5 milliard kroner i årlig omsætning.

På trods af at være meget sikker på at køre effektiv risikostyring i forhold til egne affiliates, sagde omkring 67% af de adspurgte, at deres organisationer enten havde oplevet et cyberangreb, hvor angrebeskæden omfattede et datterselskab eller at de manglede evnen eller oplysninger til at udelukke muligheden.

Omkring halvdelen af de adspurgte erkendte, at de ikke ville blive overrasket, hvis et sikkerhedsbrud ville forekomme “i morgen”. Respondenterne i undersøgelsen var i ledende i branchen for cybersikkerhed, overholdelse eller risiko. Hver af de adspurgte organisationer havde personale dedikeret til at overvåge subsidiær risiko.

“Vi søgte at forstå de trusler og risici, som organisationer står over for ikke kun med affiliates, de lige havde købt eller erhvervet, men endnu vigtigere dem, der havde været på plads i årevis eller længere,” sagde Michael Sampson, senioranalytiker hos Osterman Research. “Og i betragtning af, at udfordringer indenfor cybersikkerhed, risici og spørgsmål ændrer sig løbende, selvom man er up-to-speed på en given dag, kan over kort tid nye sårbarheder opdages eller fremhæves.”

”Hvis der er eksponerede aktiver og datakilder, som datterselskabet ikke kender til eller vælger at holde fra moderselskabet, bliver sårbarhederne overset og bliver væsentlige problemer senere”, ifølge Sampson.

Datterselskaber står over for flere sikkerhedsrisici

Fokus på overholdelse på bekostning af sikkerhed, komplekse onboardingprocesser, sjældne og langvarige risikostyringsprocesser, overdreven brug af manuelle værktøjer og en forsinkelse mellem oprydning og resultater blev understreget i rapporten som de største vejspærringer til styring af subsidiære risici.

Makrotendenser og det miljø, som virksomhederne opererer i, påvirker de operationelle realiteter for sikkerheden, ifølge rapporten. F.eks. blev pandemisk induceret digital transformation og nylige højt profilerede brud i forsyningskæden over hele kloden nævnt af henholdsvis 69 % og 56 % af respondenterne som de vigtigste bekymringer for affiliates.

“Jeg tror, vi ser organisationer, der bliver mere og mere opmærksomme på, at cybersikkerhed er et væsentligt problem, og der er visse cybersikkerhed trusler, der er blevet meget kendt i de sidste fem år,” sagde Sampson. “Supply chain ransomware og business e-mail kompromiser vil toppe denne liste.”

Rapporten fremhævede, at organisationer er mere fokuseret på overholdelse aspekter af overvågning af subsidiære risici end de sikkerhedsaspekter, hvilket efterlader huller, når det kommer til onboarding og forvaltning affiliates, hvilket fører til flere angreb.

Subsidiær onboarding er i sig selv er en kompleks opgave og kun omkring 5% af respondenterne bekræftede at have en moden proces for at muliggøre problemfri integration af nye forretningsenheder, mens andre respondenter klagede over at blive belemret med enorme arbejdsbyrder både hos moderselskabet og på datterselskabssiden af deres virksomheder.

Subsidiær forvaltningspraksis, der i øjeblikket er på plads, er for sjælden i den forstand, at de indsamlede data er et øjebliksbillede, som hurtigt bliver forældet. Et flertal af respondenterne var også af den opfattelse, at de nuværende processer ikke dækker nok af deres organisationers potentielle angrebsoverflade, hvilket udelader sårbarheder og ofte churning ud tidskrævende falske positiver.

Det tager for lang tid at måle risici

Et andet stort problem er, hvor lang tid det tager at måle risici i forbindelse med affiliates. I gennemsnit tager det i øjeblikket fra en uge til tre måneder for 54% af organisationerne, mens 71% af dem ønsker at få det reduceret til en dag eller mindre, ifølge respondenterne i undersøgelsen.

Respondenterne i undersøgelsen påpegede også en forsinkelse mellem påvisning af et sikkerhedsgab og dens oprydning. Omkring 73% af dem sagde, at det tager hvor som helst inden for en uge til en måned. Denne forsinkelse kan udgøre en farlig mulighed for et angreb. Hertil kommer, at det store antal værktøjer, der er nødvendige for at styre sikkerhedsrisici, kun øger den samlede procestid.

Ifølge rapporten er virksomheder med en stor portefølje af affiliates 50% mere tilbøjelige til at tage længere tid end en måned at afhjælpe påviste sikkerhedshuller end virksomheder med færre affiliates. Respondenter i moderselskaber med 17 eller flere affiliates var næsten dobbelt så tilbøjelige som i virksomheder med færre affiliates til at sige, at et datterselskab har været involveret i en cyberangrebskæde mere end én gang.

“Udfordringen med datterselskab risikostyring er, at du kunne have moderselskabet her og affiliates andre steder i forskellige lande, og de kan bruge helt forskellige teknologi stakke, processer, måder at kommunikere og kultur,” sagde Rob Gurzeev, CEO og grundlægger af cyberscurity selskab CyCognito. “Hvis jeg er CSO for selskabet eller endda hele konglomeratet, kan jeg have nul synlighed i disse andre organisationers aktiver, og jeg vil ikke have nogen sammenhæng, selvom jeg lærer om en form for risiko.”

Mens sårbarhedsstyring og penetrationstest i slutningen af 1990’erne ofte var begrænset til nogle få virksomhedsservere, der var forbundet til internettet, har skiftet til skyen i løbet af de sidste årtier åbnet systemrammer for tusindvis af ingeniører, leverandører, partnere og tredjeparter. Tilføjelse affiliates til allerede strakt netværksarkitektur kun tilføjer til angrebet overfladeareal, som skal håndteres mere effektivt, end det er i øjeblikket, ifølge Gurzeev.

Kilde: CSO

Cybersikkerhed & Nyheder