Vier van de vijf softwareleveranciers getroffen door cyberaanval

BlackBerry heeft vandaag tijdens de negende editie van de jaarlijkse BlackBerry Security Summit een nieuw onderzoek onthuld waarin de omvang van kwetsbaarheden op het gebied van cybersecurity in de softwareketen van organisaties wordt belicht.

Vier op de vijf (80%) IT-beslissers verklaarden dat hun organisatie in de afgelopen 12 maanden melding had gemaakt van een aanval of kwetsbaarheid in de softwareketen, waarbij het besturingssysteem en de webbrowser de grootste impact hadden. Na een aanval op de softwareketen meldden de respondenten aanzienlijke operationele verstoringen (59%), dataverlies (58%) en effect op de reputatie (52%). Negen van de tien organisaties (90%) hadden tot een maand nodig om te herstellen.

Dit blijkt uit onderzoek van BlackBerry naar de omvang van kwetsbaarheden op het gebied van cybersecurity in de softwareketen van organisaties. Het onderzoek is gepresenteerd op de negende editie van de jaarlijkse BlackBerry Security Summit. Hieruit blijkt dat het een grote uitdaging is om softwaretoeleveringsketens te beveiligen tegen cyberaanvallen, zelfs bij strikt gebruik van aanbevolen maatregelen zoals data-encryptie, Identity Access Management (IAM) en Secure Privileged Access Management (PAM) frameworks. Ondanks het feit dat deze maatregelen bij alle partners worden toegepast, ontdekte ruim driekwart (77%) van de respondenten in de afgelopen 12 maanden onbekende actoren in hun softwaretoeleveringsketen waarvan zij niet op de hoogte waren en die zij niet hadden gecontroleerd op de naleving van essentiële beveiligingsnormen. 

Onbekende componenten en een gebrek aan zichtbaarheid

"Hoewel de meeste mensen erop vertrouwen dat hun partners in de softwareleveringsketen een beleid voeren dat ten minste even streng is als hun eigen beleid, is het juist het gebrek aan deze details waardoor cybercriminelen kwetsbaarheden kunnen uitbuiten", aldus Christine Gadsby, VP Product Security bij BlackBerry. "Onbekende componenten en een gebrek aan zichtbaarheid van de softwareleveringsketen zorgen voor blinde vlekken met potentiële kwetsbaarheden die niet alleen in één onderneming, maar in meerdere ondernemingen schade kunnen aanrichten door verlies van gegevens en intellectueel eigendom, operationele downtime en financiële en reputatiegevolgen. Hoe bedrijven cybersecurity in hun software supply chain bewaken en beheren moet op meer dan alleen vertrouwen gebaseerd zijn."

Uit de resultaten bleek ook dat organisaties gemiddeld weliswaar elk kwartaal hun eigen softwareomgeving inventariseren, maar dat zij frequentere monitoring soms niet mogelijk is door bijvoorbeeld een gebrek aan deskundigheid (54%) en zichtbaarheid (44%). In feite zei 71% dat zij blij zouden zijn met hulpmiddelen om de inventarisatie van softwarebibliotheken binnen hun toeleveringsketen te verbeteren en meer zichtbaarheid te bieden van software die door een kwetsbaarheid is getroffen. Ook was 72% voorstander van meer overheidstoezicht op open source-software om deze beter te beveiligen tegen cyberdreigingen.