供应商风险综述:今年发生的 3 起重大安全漏洞事件(迄今为止
无论你走到哪里,都能感觉到网络攻击正变得越来越普遍。黑客犯罪每天都是头条新闻,他们窃取了数百万人的个人信息,从生日到社会安全号码不一而足。
这些黑客越来越多地将目标对准组织所依赖的软件 供应链和第三方服务 。你可能想知道为什么?
因为攻击供应链可以让他们一次攻击很多 人,而不必分别攻击每个组织。我们所说的一次入侵不只是数十人或数百人,往往是数万人。
此外,这种类型的攻击会绕过受害者的安全措施,往往会导致黑客拥有更高级别的内部访问权限。这类攻击很难被发现,因此黑客有更多时间进行渗透、窃取数据和安装勒索软件。
因此,在这种严峻的形势下,让我们来看看今年我们最近看到的由第三方泄密造成的一些更值得注意的数据泄漏事件。
2021 年第三方违规案例?
卡西亚
总部位于佛罗里达州的信息技术公司卡西亚(Kaseya)遭到了有史以来最大规模的勒索软件攻击。7 月初,人们发现黑客利用了卡西亚 VSA(虚拟系统管理员)中的一个漏洞,这是一个远程监控和管理软件包。
俄罗斯 REvile 勒索软件集团的附属公司对此负责,他们要求用户提供 7000 万美元的加密货币,以发布通用解密软件密钥,解锁所有受影响的系统。为什么这次网络攻击特别恶毒?
卡西亚是一家 "托管服务提供商",这意味着其系统被那些规模太小或财力不足以拥有自己 IT 部门的公司所使用。卡西亚会定期推送更新,以确保客户系统的安全,但黑客却 利用这些功能向客户推送恶意软件。
就损失而言,全球有1 500 多家公司受到这次攻击的影响。许多公司不得不完全关闭。这种以本应保护客户的系统为目标,并利用其功能来对付客户的行为使这次攻击尤为令人震惊。
奥迪和大众
2021 年 3 月,奥迪和大众接到通知,一家供应商在 2019 年 8 月至 2021 年 5 月期间留下了未加密的数据。这些客户数据随后被未经授权的第三方获取。
这些数据包括为销售和营销目的而收集的信息,其中包括从联系信息到驾驶执照号码再到贷款号码的所有信息。 据他们称,此事仍在调查中,但大约有330 万客户和有意向的买家受到了影响。
虽然这起事件似乎并不像卡西亚那样涉及赎金问题,但它却是敏感数据暴露后可能发生的事情的一个有力例证。 特别是在 GDPR 时代,这是供应商风险的噩梦,可能会受到严重的处罚。
教训是什么?为了保护客户数据,企业应该检查供应商是否在云上确保数据安全。 在网络安全措施方面,不能只听信他们的一面之词。
Accellion
好吧, 从技术上讲,这篇报道是 2020 年 12 月发布的--但受这一不幸的供应商风险案例影响的人数仍在增加,因此值得一看。
据彭博社报道,"Accellion 公司提供安全协作和托管文件传输解决方案。公司提供生产力、企业内容、文件共享和同步以及存储、替换、备份和恢复。Accellion 为全球客户提供服务。 根据他们自己的网站,他们已经为 3,000 多家全球性企业和政府机构的2,500 多万终端用户提供了保护。
不幸的是,这意味着大量终端用户和大量个人信息有可能被窃取。 这就是最终的结果:截至上个月,受该漏洞影响的受害者人数已达到令人震惊的350 万。而且,正如我们提到的,这个数字还在不断增长。
黑客利用 Accellion 的 FTA(文件传输设备)中的漏洞暴露了敏感的个人数据,如银行和健康相关信息。FTA 大约在二十年前发布,允许企业安全地共享因文件太大而无法通过电子邮件发送的文件。据《HIPAA 指南》称,"Clop 勒索软件团伙的数据泄漏网站被用来发布部分被盗数据,以鼓励支付赎金"。
加利福尼亚州和华盛顿州的法院已经受理了多起针对 Accellion 的诉讼,这又能怪谁呢? 如果您是一家依赖他们的公司,您也可能会遭受声誉打击。
防止成为供应商风险标题
我们就此打住,免得太过悲观。大多数违规事件已经或正在得到处理,但第三方供应商的风险确实是一个问题,每个组织都需要意识到并采取措施加以应对。
确保您拥有有效的 供应商风险管理 (VRM) 计划,这样您和您的客户晚上都能睡个安稳觉。 这样您就可以避免有一天出现在这样的名单中.....!
观看我们的"合规的未来 "峰会--现已开始点播!
听取顶级风险与合规专家关于如何为企业建立业务复原力和连续性的建议。
