Volgens de SEC-regelgeving voor het openbaar maken van cybersecurity-incidenten, zijn 98% van de bedrijven verbonden met een derde partij die een datalek heeft meegemaakt. Het duurt vaak maanden voordat datalekken publiekelijk bekend worden, waardoor bedrijven mogelijk pas na lange tijd op de hoogte zijn van een inbreuk.
75% van de externe B2B-relaties die derde-partij-lekken mogelijk maakten, hadden betrekking op software of technologische producten en diensten. De beruchte cybercrime-groep Cl0p was verantwoordelijk voor 64% van de toegeschreven derde-partij-lekken in 2023, gevolgd door LockBit met slechts 7%. Aanvallers kiezen vaak voor gemeenschappelijke derde-partij-aanvalsvectoren omdat deze schaalbaarheid bieden en grote aantallen slachtoffers in één keer kunnen compromitteren.
Veelvoorkomende kwetsbaarheden: De meest uitgebuite kwetsbaarheden (MOVEit, CitrixBleed en Proself) waren betrokken bij 77% van alle derde-partij-lekken met een gespecificeerde kwetsbaarheid. Gezondheidszorg en financiële dienstverlening worden het zwaarst getroffen door derde-partij-lekken, waarbij gezondheidszorg goed is voor 35% van de totale lekken en financiële diensten voor 16%.
Hoewel de meeste aandacht uitgaat naar lekken in de VS en Engelssprekende landen, is het fenomeen van derde-partij-lekken wereldwijd van toepassing. Japan heeft een opvallend hoger percentage derde-partij-lekken (48%) vanwege de aanwezigheid van sectoren zoals automotive, productie, technologie en financiën.
Het risico van een derde-partij-lek is aanzienlijk hoger dan dat van een intern cybersecurity-incident, waardoor organisaties proactief moeten handelen om supply chain-cyber risicobeheer te operationaliseren.
Voor meer informatie klik hier.
