Блог з безпеки

Витоки даних через третіх сторін і як їм запобігти

ResilientX

Витоки даних — постійне джерело занепокоєння через часті повідомлення в новинах. Згідно зі звітом IBM/Ponemon Institute, середні загальні витрати через витоки даних у 2023 році становили 4,45 мільйона доларів. Витоки через третіх сторін особливо лякають серед багатьох ризиків кібербезпеки, з якими стикаються компанії.

Витік даних через третю сторону стається, коли хтось прокрадається в системи компанії через вендора та викрадає відповідні дані. Гаразд, уявіть це так: є магазин (Компанія A), який наймає службу доставки (Компанія B), щоб привозити посилки. У цьому випадку витік даних через третю сторону стається, коли хтось зламує комп’ютери служби доставки та забирає адреси клієнтів та іншу інформацію магазину.

Тож чому витоки даних через третіх сторін викликають занепокоєння? Розгляньмо це:

  • Кіберзлочинці націлюються на вендорів, постачальників чи підрядників.
  • Вони отримують несанкціонований доступ до цінних даних клієнтів.
  • Злом ставить під загрозу цілісність даних.
  • Становить значну загрозу конфіденційності та безпеці.

Тому серйозність витоків даних через третіх сторін неможливо переоцінити.

Значні витоки даних, спричинені сторонніми вендорами, торкнулися 44% опитаних організацій, згідно зі звітом eSentire за 2019 рік. Ба більше, звіт IBM Cost of a Data Breach Report підкреслює фінансові наслідки витоків через третіх сторін. Отже, це свідчить, що залучення третьої сторони може підняти витрати в середньому більш ніж на 370 000 доларів, аж до лячних 4,29 мільйона доларів.

Очевидно, що ставки високі. Тому наслідки є суттєвими. Тож як окремі особи та компанії можуть захиститися від витоків даних через третіх сторін?

Що ж, ось у чому річ: ці витоки можуть статися, навіть якщо ви зробили все правильно. Але не хвилюйтеся! Цей блог детальніше розповість про витоки даних через третіх сторін і те, як убезпечити себе онлайн. Захистімо вас!

Чому витоки даних через третіх сторін зростають?

Витоки даних через третіх сторін зростають. Це несе численні загрози як для бізнесу, так і для окремих осіб. Ось кілька причин цієї тривожної тенденції:

  • Посилена взаємопов’язаність: Більше взаємопов’язаних систем створюють більше точок входу для хакерів.
  • Складні ланцюги постачання: Складні ланцюги постачання розширюють доступ вендорів до конфіденційних даних, підвищуючи ризики зломів.
  • Недостатні заходи безпеки: Сторонні вендори часто не мають надійних заходів безпеки, що робить їх легкими цілями.
  • Брак нагляду: Часто бракує належного нагляду за практиками безпеки сторонніх вендорів.
  • Людська помилка: Людська помилка працівників сторонніх вендорів залишається основним чинником зломів.

Тому сплеск витоків даних через третіх сторін підкреслює нагальну потребу для бізнесу пріоритизувати заходи кібербезпеки не лише в межах своїх організацій, а й у всій розширеній мережі партнерів і вендорів.

Приклади витоків через третіх сторін

Витоки через третіх сторін ілюструють, наскільки взаємопов’язані наші цифрові екосистеми, і підкреслюють важливість надійних заходів кібербезпеки для всіх залучених сторін. Розгляньмо кілька прикладів:

1. Атака Midnight Blizzard на Microsoft

Команда безпеки Microsoft поспіхом намагалася зупинити масштабну атаку в січні 2024 року з боку Midnight Blizzard — сумнозвісного російського хакерського угруповання. Атака скомпрометувала облікові записи електронної пошти та дані в державних установах і компаніях США, причому хакери викрали приголомшливі 60 000 листів лише з Держдепартаменту.

Скомпрометовані дані:

  • Облікові записи електронної пошти
  • Конфіденційні дані державних установ США
  • Ділове листування
  • Приблизно 60 000 листів із Держдепартаменту

2. Витік даних American Express

American Express різко відреагувала на витік даних у березні 2024 року після того, як було зламано стороннього процесингового провайдера, з яким вона співпрацює. Витік розкрив конфіденційну інформацію клієнтів, зокрема номери кредитних карток, імена та терміни дії. American Express працює над стримуванням наслідків, хоча конкретний процесинговий провайдер не називався.

Скомпрометовані дані:

  • Номери карткових рахунків American Express
  • Імена власників карток
  • Терміни дії карток
  • Інша конфіденційна інформація про картки

3. Витік даних Mercedes-Benz

У 2021 році постачальник Mercedes-Benz припустився помилки з хмарним сховищем. Це спричинило витік даних, що розкрив персональну інформацію понад мільйона людей. Витік розкрив дані клієнтів і потенційних покупців із вебсайтів Mercedes-Benz, торкнувшись записів за 2014–2017 роки. Однак насправді не всі, хто був у записах, постраждали від цього витоку даних. Але в 1 000 осіб було скомпрометовано їхню конфіденційну інформацію. Цей інцидент підкреслює важливість захисту компаніями всього свого ланцюга постачання, а не лише внутрішніх систем.

Скомпрометовані дані:

  • Повні імена
  • Електронні адреси
  • Номери телефонів
  • Номери водійських посвідчень
  • Інформація про кредитні картки
  • Дати народження
  • Дані про придбані автомобілі

4. Витік Marriott

Marriott придбала Starwood у 2006 році. Однак вона також успадкувала велику проблему, адже хакери проникли в системи Starwood ще у 2014 році. Вони залишалися непоміченими роками, доки їх нарешті не виявили у 2018 році. Проте це був не кінець. У 2020 році власники франшиз викрали доступ до корпоративних систем Marriott, що торкнулося понад 5 мільйонів облікових записів клієнтів в окремому витоку.

Скомпрометовані дані:

  • Імена
  • Адреси
  • Номери телефонів
  • Дати народження
  • Електронні адреси
  • Зашифровані дані кредитних карток
  • Номери паспортів
  • Історії подорожей
  • Інформація про картки лояльності

Ці приклади висвітлюють критичну потребу відстежувати сторонні організації у вашій екосистемі. Вразливості в третьої сторони можуть призвести до значних зломів, навіть якщо ваші системи залишаються захищеними. Тому це, своєю чергою, вплине на ваші дані та діяльність.

Тож ось що можна зробити: будьте пильними та гарантуйте надійні заходи кібербезпеки в усіх партнерствах.

Найкращі практики для запобігання порушенням безпеки через третіх сторін

Немає жодних сумнівів, що захист вашої організації від порушень безпеки через третіх сторін є вирішальним. Вендори та партнери можуть ненавмисно стати шлюзами для кібератак. Тому вкрай важливо впроваджувати потужні заходи безпеки.

Ось кілька найкращих практик, щоб захистити ваш бізнес від цих ризиків.

1. Оцінюйте своїх вендорів перед підключенням

Життєво важливо провести ретельне оцінювання їхнього стану кібербезпеки, перш ніж залучати будь-якого вендора. Тому цей процес має включати тестування на проникнення, щоб дослідити їхній захист від потенційних атак. Крім цього, ви також повинні переконатися, що вендор дотримується галузевих стандартних практик безпеки та здатний захистити вашу конфіденційну інформацію. Цей початковий тест допомагає виявити будь-які слабкі місця, які могли б розширити ваші зусилля з управління поверхнею атаки.

Як це зробити:

  • Проводьте перевірку репутації потенційних вендорів.
  • Тестуйте системи вендорів на вразливості.
  • Аналізуйте політики та процедури безпеки вендорів.
  • Переконайтеся, що вендор відповідає галузевим стандартам (як-от ISO 27001, GDPR).
  • Запитуйте та переглядайте аудити безпеки чи сертифікації.

2. Вимірюйте ризик четвертих сторін

Не зупиняйтеся на оцінюванні своїх прямих вендорів. Однаково важливо розуміти ризики безпеки, які становлять їхні вендори, відомі як четверті сторони. Цей рівень оцінювання часто випускають з уваги, але він може суттєво вплинути на вашу загальну стратегію управління ризиками вендорів. Ви також можете отримати уявлення про ширшу екосистему та впровадити запобіжні заходи для пом’якшення цих розширених загроз, вимірюючи ризик четвертих сторін.

Як це зробити:

  • Попросіть вендорів визначити критично важливих субвендорів.
  • Оцінюйте практики безпеки четвертих сторін.
  • Отримуйте документи з безпеки та сертифікації від субвендорів.
  • Включайте ризики четвертих сторін до оцінок вендорів.
  • Використовуйте інструменти для моніторингу ризиків четвертих сторін.

3. Включіть управління ризиками до ваших контрактів

Вкрай важливо включати положення, пов’язані з управлінням ризиками, під час укладання контрактів із вендорами. Тому вам слід окреслити заходи безпеки та протоколи, яких вони повинні дотримуватися, гарантуючи їхню відповідність стандартам вашої організації. Це договірне зобов’язання гарантує, що вендори юридично зобов’язані підтримувати певний рівень безпеки. Відтак це знижує ймовірність витоку через третю сторону.

Як це зробити:

  • Визначте стандарти безпеки та відповідність (PCI DSS).
  • Вимагайте регулярних оцінок безпеки від кваліфікованих вендорів.
  • Зобов’яжіть негайно повідомляти про будь-які інциденти безпеки чи зломи.
  • Визначте штрафи за недотримання заходів безпеки.
  • Визначте зобов’язання щодо захисту даних і конфіденційності.

4. Безперервно моніторте вендорів на предмет ризиків безпеки

Безпека вендорів — це не разова перевірка, а безперервний процес. Тому ви можете впровадити безперервний моніторинг, щоб бути в курсі стану безпеки ваших вендорів. Цього можна досягти за допомогою інструментів, які надають інформацію про потенційні вразливості та загрози в реальному часі. Відповідно, ви можете розв’язувати проблеми щойно вони виникають і знижувати ймовірність того, що інцидент безпеки вплине на ваш бізнес.

Як це зробити:

  • Безперервно моніторте мережі вендорів за допомогою автоматизованих інструментів.
  • Плануйте регулярні аудити безпеки для вендорів.
  • Відстежуйте дотримання вендорами політик безпеки.
  • Будьте в курсі загроз безпеці вендорів.
  • Налаштуйте сповіщення про зміни в безпеці вендорів.

5. Співпрацюйте зі своїми вендорами

Налагодьте відкриті канали комунікації зі своїми вендорами, щоб сприяти спільному підходу до безпеки. Тому ви повинні регулярно ділитися інформацією про нові загрози та найкращі практики. Таке партнерство може посилити ваші колективні механізми захисту, ускладнюючи кіберзлочинцям використання будь-яких слабких місць.

Як це зробити:

  • Плануйте регулярні зустрічі з питань безпеки з вендорами.
  • Діліться кіберрозвідкою та найкращими практиками.
  • Співпрацюйте над навчанням з безпеки.
  • Розробляйте спільні плани реагування на інциденти.
  • Просувайте культуру безперервного вдосконалення безпеки серед вендорів.

Як ResilientX може допомогти запобігти витокам даних через третіх сторін

Захист вашої організації від витоків даних через третіх сторін починається з вибору правильного партнера. ResilientX — це уніфікована платформа управління кіберекспозицією, яка об’єднує поверхню атаки, вебзастосунки, тестування мережевої безпеки, автоматизацію хмарної безпеки та управління ризиками третіх сторін. Ми спеціалізуємося на захисті ваших даних і забезпеченні безперебійної діяльності вашого бізнесу.

Ось чому ResilientX вирізняється на ринку захисту даних:

  • Всеосяжний аналіз ризиків

ResilientX заглядає вглиб за допомогою розширеної аналітики, щоб запропонувати ретельні висновки про ризики та комплексну перевірку. Ми допомагаємо вам виявляти вразливості, перш ніж вони перетворяться на загрози.

  • Автоматизовані робочі процеси

Наші автоматизовані робочі процеси спрощують управління вендорами та процеси усунення вразливостей. Це гарантує, що ваші заходи безпеки залишаються актуальними, водночас заощаджуючи ваш час і гроші.

  • Безперервний моніторинг

Ми виявляємо та усуваємо нові загрози в реальному часі за допомогою наших інструментів безперервного моніторингу. Це означає, що ваша організація захищена цілодобово.

Готові захистити свої дані? Зв’яжіться з ResilientX сьогодні і збудуймо безпечне майбутнє разом.

Підсумкові думки

Витоки даних через третіх сторін — це дедалі більша проблема. Однак ви можете значно знизити свій ризик, дотримуючись цих найкращих практик. Це захистить конфіденційну інформацію та репутацію вашої організації. При цьому проактивні заходи є вкрай важливими. Тож не чекайте, доки станеться злом, щоб діяти. ResilientX може допомогти вам впровадити всеосяжну стратегію управління ризиками третіх сторін із розширеною аналітикою, автоматизованими робочими процесами та безперервним моніторингом.
Годі хвилюватися про порушення безпеки. Подивіться, як ResilientX може захистити ваші системи за допомогою безкоштовного демо сьогодні.

Поширені запитання

1. Що таке витік даних через третю сторону?

Витік даних через третю сторону — це ситуація, коли хакери викрадають ваші дані не безпосередньо в компанії, якій ви їх надали, а в окремої компанії, що має доступ до вашої інформації завдяки своїм діловим відносинам із першою компанією. Уявіть, що ви ділитеся даними своєї кредитної картки з онлайн-магазином. Якщо хакери атакують компанію з обробки платежів, якою користується магазин, вони можуть викрасти інформацію вашої кредитної картки, навіть якщо ви ніколи не надавали її процесингу платежів безпосередньо.

2. Як я можу захистити себе?

Хоча повний контроль над переданими даними — справа складна, деякі кроки можуть допомогти:

  • Будьте обережні щодо того, хто отримує вашу інформацію. Досліджуйте компанії, перш ніж ділитися особистими даними.
  • Обмежуйте інформацію, якою ви ділитеся онлайн. Уникайте надмірного оприлюднення в соцмережах чи надання зайвих деталей.
  • Використовуйте надійні паролі та уникайте натискання підозрілих посилань. Це допомагає запобігти прямому доступу хакерів до вашої інформації.

3. Що робити, якщо я почув про витік даних через третю сторону?

  • З’ясуйте, чи ви постраждали. Більшість компаній повідомлять вас, якщо ваші дані було скомпрометовано.
  • Змініть свої паролі, особливо для зламаної компанії та будь-яких облікових записів, що використовують той самий пароль.
  • Моніторте свої облікові записи на предмет незвичної активності, як-от несанкціоновані списання чи зміни в обліковому записі.

4. Чи можу я подати до суду, якщо мої дані зламано в інциденті через третю сторону?

Можливість судового позову залежить від конкретної ситуації. Розгляньте можливість консультації з юристом, якщо ви вважаєте, що витік скомпрометованих даних завдав шкоди.

5. Що робиться для запобігання витокам даних через третіх сторін?

Компанії впроваджують покращені практики безпеки та норми, щоб захистити свої системи та ваші дані. Ви також можете зробити внесок, виступаючи за суворіші закони про конфіденційність даних.

Пов’язані ресурси

ПоділитисяLinkedInX
Пов’язані статті блогу
Пов’язані статті блогу
Нічого не знайдено.

Готові зменшити свою кіберекспозицію?

Дізнайтеся, як ResilientX забезпечує безперервну видимість вашої поверхні атаки, ризиків третіх сторін і стану відповідності — в одній платформі.

Забронюйте демо