Základní informace o publikaci
Oblast vzdělávání a rozvoje: | Vývoj a analýza softwaru a aplikací |
---|---|
Téma: | Kybernetická bezpečnost |
Cílová skupina: | Digitální dovednosti pro ICT odborníky |
Úroveň digitálních dovedností: | Pokročilá, Odborník na digitální technologie |
Druh iniciativy: | Institucionální iniciativa EU |
Druh publikace: | Zpráva |
Geografický rozsah: | Evropská unie |
O publikaci
Zpráva Agentury Evropské unie pro kybernetickou bezpečnost (ENISA) mapuje hlavní útoky v dodavatelském řetězci v období od ledna 2020 do července 2021. Studie zkoumá 24 nedávných příkladů útoků v dodavatelském řetězci s cílem ilustrovat zranitelnost v oblasti kybernetické bezpečnosti.
Pojem „dodavatelský řetězec“ se používá k označení ekosystému procesů, lidí, organizací a distributorů zapojených do různých fází vývoje výrobků. Útoky v dodavatelském řetězci jsou kybernetické útoky, které se snaží poškodit organizaci tím, že se zaměřují na méně bezpečné prvky v dodavatelském řetězci.
Vývoj útoků v dodavatelském řetězci
Útoky v dodavatelském řetězci nepředstavují nový bezpečnostní problém; mezinárodní společenství je však od začátku roku 2020 poznamenáno mnohem organizovanějšími a sofistikovanějšími útoky. Očekává se, že tento nepříznivý trend zaznamenaný v roce 2020 bude pokračovat i po celý rok 2021, což bude mít na organizace větší dopad. Agentura ENISA ve skutečnosti odhaduje, že v roce 2021 dojde k čtyřnásobnému nárůstu útoků v dodavatelském řetězci ve srovnání s předchozím rokem. Čím lépe jsou organizace chráněny před kybernetickými útoky, tím více se pozornost přesouvá na dodavatele, kteří se rychle stávají nejslabším článkem řetězce. To platí zejména pro poskytovatele cloudových služeb a poskytovatele řízených služeb, kde nedávné útoky poukazují na zvýšenou potřebu kontrol kybernetické bezpečnosti v těchto odvětvích. Zpráva se zabývá různými incidenty a nabízí doporučení pro nové metody a přístupy v oblasti kybernetické bezpečnosti, které zahrnují dodavatele do řízení kybernetických bezpečnostních rizik v dodavatelském řetězci.
Typy útoků v dodavatelském řetězci
K útoku v dodavatelském řetězci může dojít v jakémkoli odvětví – od finančního sektoru, ropného průmyslu až po vládní sektor. Zejména v oblasti softwaru podkopávají útoky v dodavatelském řetězci důvěru v softwarový ekosystém. Útoky v dodavatelském řetězci mohou být složité, vyžadují pečlivé plánování a jejich provedení často trvá několik měsíců nebo let. Níže uvedený obrázek znázorňuje hlavní techniky útoku, které mohou mít důsledky pro všechny organizace v rámci dodavatelského řetězce.
Přibližně 58 % útoků v dodavatelském řetězci bylo zaměřeno na získání přístupu k údajům (převážně údajům o zákaznících, včetně osobních údajů a duševního vlastnictví) a přibližně 16 % na získání přístupu k lidem. V 62 % případů byl použitým způsobem útoku malware.
Úplné závěry a hlavní body zprávy jsou k dispozici na internetových stránkách agentury ENISA ve formátu PDF.
© Agentura Evropské unie pro kybernetickou bezpečnost (ENISA), 2021