The Enterprise Strategy Group (ESG) recently surveyed 303 IT and information security professionals with awareness of or responsibility for cyber supply chain policies and processes and with overall knowledge of the state of cybersecurity at their organizations. Survey respondents were located in the United States and work for large midmarket (i.e., 500 to 999 employees) and enterprise (i.e., 1,000 or more employees) organizations that operate in critical infrastructure industries as designated by the U.S. Department of Homeland Security. This research project was intended to assess the state of cyber supply chain security and the overall cybersecurity status of organizations in critical infrastructure industries since these entities face constant cyber-attacks from a variety of adversaries including cyber-criminals, hacktivists, and nation states, so they have a bird’s eye view of the threat landscape on a daily basis. When asked to assess this threat landscape in comparison to two years ago, nearly one-third (31%) of organizations claim that the threat landscape is much worse than it was two years ago while 36% believe that the threat landscape is somewhat worse than it was two years ago (see Figure 1). While not surprising, this is discouraging, as an attack on U.S. critical infrastructure could be the “cyber Pearl Harbor” predicted by numerous politicians and pundits. |
企業の作戦のグループ(ESG)は組織で最近303を意識のまたはcyberのサプライチェーン方針およびプロセスのための責任のとcybersecurityの状態の全面的な知識のそれそして情報セキュリティの専門家調査した。 調査の被告は大きいmidmarket (すなわち、500に999人の従業員)のために米国で働くおよび米国によって示されるように重大な下部組織工業で作動する企業(すなわち、1,000人またはより多くの従業員)の組織い。 自国の保安の部門。 この研究計画はcyberのサプライチェーンの保証の状態を査定するように意図され、これらの実体が一定したに直面するので重大な下部組織工業の組織の全面的なcybersecurityの状態はcyber犯罪者、hacktivistsおよび国家州、従ってそれらを含む色々な敵から毎日持っている脅威の景色の鳥瞰的な概観をcyber攻撃する。 前に2年と比較してこの脅威の景色を査定することを頼まれたとき組織のほぼ3分の1は(31%)脅威の景色は幾分悪いことを36%がよりそれだった2年信じる前に間、それが前に2年だったより大いに悪い脅威の景色がことを主張する(図1を見なさい)。 意外間、これは米国の攻撃としてがっかりさせる。 重大な下部組織は多数の政治家およびヒンズー教学者が予測した「cyber真珠湾」であることができる。 |
Security professionals’ opinions may be related to the fact that most of their organizations experienced one or several security incidents in the past 24 months. In fact, according to Figure 2, many report a wide variety of incidents including system compromises resulting from generic attacks on user systems (31%), data breaches due to lost or stolen equipment (26%), insider attacks (25%), breaches of physical security (21%), and targeted attacks (19%). The data also points to vulnerabilities in the cyber supply chain. In some cases, security incidents were related to business relationships in which several organizations open IT applications and services to one another. While these arrangements offer cost and operational benefits, they also expose each organization to threat vectors emanating from partner networks. It is also noteworthy that 16% of organizations experienced security incidents related to the purchase of counterfeit IT equipment. Clearly, this risk is still pervasive. |
保証専門家の」意見は組織のほとんどが1つを経験したまたは過去の24か月の複数の保証事件かもしれない事実と関連している。 無くなったか盗まれた装置(26%)のための実際は、図2に従って、多数はシステム妥協を含む色々事件を報告しユーザーシステム(31%)の一般的な攻撃に起因する、データ違反、部内者は(25%)、物理的安全保護(21%)の違反、および目標とされた攻撃(19%)攻撃する。 データはまたcyberのサプライチェーンの脆弱性を指す。 場合によっては、保証事件は複数の組織が互いにそれを適用およびサービス開けるビジネス関係と関連していた。 これらの整理が費用および操作上の利点を提供する間、またパートナーネットワークから出る脅威のベクトル--に各構成をさらす。 組織の16%が偽造の購入と関連していた保証事件をそれ装置経験したことはまた顕著である。 明らかに、この危険はまだ普及する。 |
Respondents were then asked to describe the consequences of these security incidents. Not surprisingly, nearly half (47%) of organizations report that security incidents require time and personnel for remediation, but many security incidents also impact the business mission—36% said that security incidents disrupted business processes and/or critical operations, 36% pointed to disruption of a business application, 33% described lost productivity, and 32% said that security incidents led to a breach of sensitive data (see Figure 3). In critical infrastructure industries like financial services, business process disruption could translate to an ATM network going offline, while the breach of a health care organization could expose the sensitive health care records of thousands of patients. |
被告はそれからこれらの保証事件の結果を記述するように頼まれた。 保証事件が感知可能データの違反をもたらしたと保証事件がビジネス過程や重大な操作を破壊したこと保証事件が治療の時間そして人員を要求するが、多くの保証事件はまたビジネス・アプリケーションの中断33%、記述されていた無くなった生産性をビジネス代表団36%に言った、36%を指した、および言われる32%影響を与えることを予想通り、組織のほぼ半分(47%)は報告する(図3を見なさい)。 重大な下部組織では企業はオフラインになるATMネットワークにヘルスケアの組織の違反はたくさんの患者の敏感なヘルスケアの記録を露出できるが金融サービス、ビジネス過程の中断を翻訳できる好む。 |