The Enterprise Strategy Group (ESG) recently surveyed 303 IT and information security professionals with awareness of or responsibility for cyber supply chain policies and processes and with overall knowledge of the state of cybersecurity at their organizations. Survey respondents were located in the United States and work for large midmarket (i.e., 500 to 999 employees) and enterprise (i.e., 1,000 or more employees) organizations that operate in critical infrastructure industries as designated by the U.S. Department of Homeland Security. This research project was intended to assess the state of cyber supply chain security and the overall cybersecurity status of organizations in critical infrastructure industries since these entities face constant cyber-attacks from a variety of adversaries including cyber-criminals, hacktivists, and nation states, so they have a bird’s eye view of the threat landscape on a daily basis. When asked to assess this threat landscape in comparison to two years ago, nearly one-third (31%) of organizations claim that the threat landscape is much worse than it was two years ago while 36% believe that the threat landscape is somewhat worse than it was two years ago (see Figure 1). While not surprising, this is discouraging, as an attack on U.S. critical infrastructure could be the “cyber Pearl Harbor” predicted by numerous politicians and pundits. |
Le groupe de stratégie d'entreprise (ESG) a récemment examiné 303 LUI et des professionnels de sécurité de l'information avec la conscience de ou la responsabilité des politiques et des processus de chaîne d'approvisionnements de cyber et avec la connaissance globale de l'état de cybersecurity à leurs organismes. Des répondants d'aperçu ont été situés aux Etats-Unis et travaillent pour de grands employés du midmarket (c.-à-d., 500 à 999) et les organismes d'entreprise (c.-à-d., 1.000 employés ou plus) qui fonctionnent dans des industries critiques d'infrastructure comme indiquées par les États-Unis Département de sécurité de patrie. Ce projet de recherche a été prévu pour évaluer l'état de sécurité de chaîne d'approvisionnements de cyber et le statut global de cybersecurity d'organismes dans des industries critiques d'infrastructure puisque ces entités font face à constant cyber-attaque d'une variété d'adversaires comprenant des cyber-criminels, des hacktivists, et des états de nation, ainsi eux ont la vue de l'oeil d'un oiseau du paysage de menace quotidiennement. Une fois demandé à évaluer ce paysage de menace par rapport il y a à deux ans, presque un tiers (31%) d'organismes réclament que le paysage de menace est beaucoup plus mauvais qu'il était il y a de deux ans tandis que 36% croient que le paysage de menace est légèrement plus mauvais qu'il étaient il y a de deux ans (voir le schéma 1). Tout en n'étonnant pas, ceci décourage, comme attaque sur les États-Unis l'infrastructure critique a pu être le « cyber Pearl Harbor » prévue par de nombreux politiciens et pandits. |
Security professionals’ opinions may be related to the fact that most of their organizations experienced one or several security incidents in the past 24 months. In fact, according to Figure 2, many report a wide variety of incidents including system compromises resulting from generic attacks on user systems (31%), data breaches due to lost or stolen equipment (26%), insider attacks (25%), breaches of physical security (21%), and targeted attacks (19%). The data also points to vulnerabilities in the cyber supply chain. In some cases, security incidents were related to business relationships in which several organizations open IT applications and services to one another. While these arrangements offer cost and operational benefits, they also expose each organization to threat vectors emanating from partner networks. It is also noteworthy that 16% of organizations experienced security incidents related to the purchase of counterfeit IT equipment. Clearly, this risk is still pervasive. |
Avis de professionnels de sécurité des' peuvent être liés au fait que la plupart de leurs organismes ont éprouvé un ou à plusieurs incidents de sécurité en 24 mois derniers. En fait, selon le schéma 2, beaucoup rapportent une grande variété d'incidents comprenant des compromis de système résultant des attaques génériques sur les systèmes d'utilisateur (31%), des infractions de données dues à l'équipement perdu ou volé (26%), l'initié attaque (25%), des infractions de la sécurité physique (21%), et des attaques visées (19%). Les données se dirigent également aux vulnérabilités dans la chaîne d'approvisionnements de cyber. Dans certains cas, des incidents de sécurité ont été liés aux rapports d'affaires dans lesquels plusieurs organismes l'ouvrent des applications et des services à un des autres. Tandis que ces arrangements offrent le coût et les avantages opérationnels, ils exposent également chaque organisation aux vecteurs de menace émanant des réseaux d'associé. Il est également remarquable que 16% d'organismes ait éprouvé des incidents de sécurité liés à l'achat de la contrefaçon IL équipement. Clairement, ce risque est encore dominant. |
Respondents were then asked to describe the consequences of these security incidents. Not surprisingly, nearly half (47%) of organizations report that security incidents require time and personnel for remediation, but many security incidents also impact the business mission—36% said that security incidents disrupted business processes and/or critical operations, 36% pointed to disruption of a business application, 33% described lost productivity, and 32% said that security incidents led to a breach of sensitive data (see Figure 3). In critical infrastructure industries like financial services, business process disruption could translate to an ATM network going offline, while the breach of a health care organization could expose the sensitive health care records of thousands of patients. |
Des répondants ont été alors invités à décrire les conséquences de ces incidents de sécurité. Pas étonnamment, presque la moitié (47%) des organismes signalent que les incidents de sécurité exigent l'heure et le personnel pour la remédiation, mais beaucoup d'incidents de sécurité effectuent également la mission-36% d'affaires dite que les incidents de sécurité ont perturbé des processus d'affaires et/ou des opérations critiques, 36% se sont dirigés à la rupture d'une application d'affaires, par 33% productivité perdue décrite 32%, et dit que les incidents de sécurité ont mené à une infraction des données sensibles (voir le schéma 3). En infrastructure critique les industries aiment des services financiers, affaires la rupture que de processus pourrait traduire à un réseau d'atmosphère allant en différé, alors que l'infraction d'une organisation de santé pourrait exposer les disques sensibles de santé des milliers de patients. |