新たな報告書によると、インドのベンダーの驚くほど高い割合が過去1年間にサードパーティによる情報漏洩を経験しており、世界のサプライチェーンがリスクにさらされている可能性があることが明らかになりました。
SecurityScorecardはまず、インド企業が半導体、電子機器、医薬品、アウトソーシングなど、世界のサプライチェーンに重要な貢献をしている10の業界を特定しました。その上で、海外の企業や消費者向けに主要な輸出やサービスを提供しているインド企業15社を選出しました。
その結果まとめられた報告書「グローバルサプライチェーンにおけるサードパーティのサイバーリスク:主要インドサプライヤーの評価」では、インドのベンダーの53%が過去1年間に少なくとも1回のサードパーティによる情報漏洩を経験したことが判明しました。
アウトソーシングされたIT運用およびマネージドサービスプロバイダーは、報告されたサードパーティ漏洩全体の63%を占めました。別途、医薬品企業は公表された漏洩の42%、調査対象となったランサムウェア被害の38%を占めました。
インドのサプライヤーにおける情報漏洩の詳細はこちら:Tata Technologiesがランサムウェア攻撃の被害に。
報告書でいう「サードパーティ漏洩」とは、これらのベンダーで発生した漏洩が他の組織のデータやインフラの侵害につながった場合、または他の組織での侵害によってこれらのベンダーのデータやインフラが露呈した場合のいずれかを指します。
「言い換えれば、当社のサンプル企業が意図せずリスクをもたらした場合と、サードパーティリスクの被害者となった場合の両方を含みます」と報告書は述べています。
各ベンダーには、パッチ適用の頻度、DNSの健全性、IPの評判、エンドポイント・ネットワーク・アプリのセキュリティなど、複数のセキュリティリスク要因に基づいて評価が与えられました。
インドのベンダー、サイバーセキュリティ評価にばらつき
インドのベンダーのほぼ27%が「F」のサイバーセキュリティ評価を受けており、これはこれまでのSecurityScorecardの報告書の中で最大の割合です。しかし、4分の1(25%)は「A」の評価を受けており、優れた取り組みが一部の組織で存在していることも示されています。
ネットワークセキュリティの問題、証明書管理の不備、パッチ適用の遅れが、低評価の主な理由でした。
「インドは世界のデジタル経済の要です」とSecurityScorecardのフィールドCTO、ライアン・シェルストビトフ氏は述べています。「我々の調査結果は、強みとともに、レジリエンス(回復力)を高めるべき領域も浮き彫りにしています。サプライチェーンのセキュリティは、今や業務上の必須条件です。」
SecurityScorecardは、組織に対して次のことを推奨しています:
- 新たな脅威に備え、サードパーティおよびフォースパーティのエコシステムを継続的に監視する
- 証明書管理とパッチ適用を優先する(これらが最も一般的な弱点だったため)
- ITおよびマネージドサービスプロバイダーに注意を払う(これらは世界的にも最もリスクの高いベンダーカテゴリの一つ)
- サイバーセキュリティ評価を調達、ベンダー管理、継続的なリスク管理の指針として活用する
翻訳元: https://www.infosecurity-magazine.com/news/experts-global-breach-risk-indian/