A vállalatok többsége nem tud mit kezdeni a harmadik felekhez kapcsolódó kiberkockázatokkal, amit az alvállalkozói, illetve beszállítói láncok összetettsége is nehezít. A cégvezetők 60%-a számít a kiberbűnözés növekedésére 2022-ben; a szoftverbeszállítói láncon belül az adatbiztonság megsértését, valamint a felhőszolgáltatásaikat érintő támadások számának megugrását prognosztizálják – derül ki a PwC 2022-es Global Digital Trust Insights felméréséből. 

A világszerte 3600 vezérigazgató és felső vezető részvételével készült felmérés szerint a megkérdezettek 60%-a nem rendelkezik mélyreható ismeretekkel a harmadik fél által okozott adatvesztések kockázatával kapcsolatban, míg 20%-uk csak kismértékben ismeri vagy egyáltalán nincs tisztában ezekkel a kockázatokkal.

„A megállapítások vészjóslóak egy olyan környezetben, ahol a cégvezetők 60%-a számít a kiberbűnözés növekedésére 2022-ben. A válaszadók 56%-a a szoftverbeszállítói láncon belül az adatbiztonság megsértésével kapcsolatos esetek számának növekedésére számít, ugyanakkor csak 34%-uk mérte fel hivatalosan vállalatuk ilyen kockázatoknak való kitettségét. Hasonlóképpen a válaszadók 58%-a számít a felhőszolgáltatásaikat érintő támadások számának megugrására, de csak 37%-uk nyilatkozott úgy, hogy hivatalos kockázatértékelések alapján tárta fel a felhőalapú megoldásokkal kapcsolatos kockázatokat” – mondta Durojaiye Péter, a PwC Magyarország kibervédelmi csoportjának és az EMEA régió Cybersecurity Impact Centerének vezetője.

A PwC kibervédelmi szakértője szerint a vállalatok még akkor is sebezhetőek lehetnek egy támadással szemben, ha a saját kibervédelmük jó; egy kifinomult támadó ugyanis a leggyengébb láncszemet kutatja, adott esetben a vállalat beszállítóin keresztül. A cégek harmadik felekkel való kapcsolatainak és függőségeinek átláthatósága és kezelése éppen ezért elengedhetetlen. Ennek ellenére a válaszadók kevesebb mint fele reagált a komplex üzleti környezet által jelentett egyre növekvő fenyegetésekre, mivel a harmadik felet ért kibertámadások kockázatainak csökkentése összetett folyamat. Ezen fenyegetéseket azonban nem hagyhatjuk figyelmen kívül, hiszen bizonyos beszállítók kis túlzással szinte szabad bejárással rendelkeznek vállalataink rendszereibe.

Arra a kérdésre, hogy vállalatuk hogyan minimalizálja a harmadik féllel kapcsolatos kockázatokat, a leggyakoribb válaszok a következők voltak: a beszállítók megfelelésének auditálása vagy ellenőrzése (46%); információ megosztása harmadik felekkel vagy más módon történő segítségnyújtás kiberbiztonságuk javítására (42%); valamint a kiberbiztonsággal kapcsolatos költség- vagy időbeli kihívások kezelése (40%). A többség azonban nem határozta meg részletesen a harmadik felekkel szembeni elvárásait (58%), nem módosította a szerződéseket (60%), illetve nem szigorította a harmadik felekkel kapcsolatos kockázatok azonosítására irányuló átvilágítási folyamatait (62%).

Egyszerűbb működés, kisebb kockázat

A válaszadók közel háromnegyede szerint szervezetük összetettsége aggasztó mértékű kiber- és adatvédelmi kockázatokat hordoz. Az egyszerűbb működés kihívást jelent, de mindenképpen megéri. Míg tízből három válaszadó azt mondta, hogy vállalata az elmúlt két évben korszerűsítette működését, a felmérés alapján a vállalatok kiberbiztonság terén legjobban teljesítő tíz százaléka ötször nagyobb valószínűséggel egyszerűsítette működését. Az első tíz százalékba tartozó vállalatok továbbá tízszer nagyobb valószínűséggel vezettek be formális adatbiztonsági gyakorlatot, és tizenegyszer nagyobb valószínűséggel rendelkeznek magas szintű ismeretekkel a harmadik felekkel kapcsolatos adatvédelmi és kiberkockázatokról.

A vezérigazgatói elkötelezettség lényeges pont

A legtöbb vezető úgy véli, hogy a biztonságosabb digitális társadalom megvalósítása érdekében 2030-ig a legfontosabb lépés a vezérigazgatók és az igazgatósági tagok felkészítése, hogy jobban be tudják építeni a kiberbiztonság szempontjait a stratégiai döntésekbe is.

„A válaszokból azt látjuk, hogy a legfejlettebb szervezetek a kiberbiztonságot nem csupán a védekezés és ellenőrzés eszközének tekintik, hanem olyan lehetőségnek, amellyel fenntartható üzleti eredményeket érhetnek el és bizalmat építhetnek ügyfeleik körében. Ez a szemléletmód a cégvezetőknél kezdődik, így kulcsszerepe van az ő felkészültségüknek és ismereteiknek, hogy a vállalati célok és döntések a szűkebb, rövid távú elvárások helyett a növekedéssel kapcsolatos távlati célkitűzésekre fókuszálhassanak. A kiberbiztonság így értékteremtő, és nem megfelelési kényszer” – tette hozzá Gyimesi Csaba, a PwC Magyarország kibervédelmi csoportjának igazgatója.