بیت‌سایت (Bit Sight) و مرکز متخصصان مالی (CeFPro) (Center for Financial Professionals) اخیراً نتایج یک مطالعه مشترک را منتشر کرده‌اند. مضمون این مطالعه این است که چگونه موسسات مالی با چالش‌های مرتبط با خطرات سایبری شخص ثالث روبرو می‌شوند. (third-party cyber risk)

براساس یک نظرسنجی از متخصصان خدمات مالی از سراسر جهان، این گزارش نشان می‌­دهد که مدیریت خطر سایبری شخص ثالث برای کسب‌وکار آنها حیاتی است. اما فقدان نظارت مستمر، گزارش‌دهی نامناسب و دیگر نقاط کور، چالش‌هایی هستند که می‌توانند سازمان‌ها را در برابر نفوذ به داده‌ها و عواقب دیگر آسیب‌پذیر کنند.

اکثر سازمان‌های بزرگ با صدها نفر از اشخاص ثالث کار می‌­کنند. به این ترتیب با خطرات جدیدی مواجه­‌اند و باید این خطرات را مدیریت کنند. صنعت مالی یک اکوسیستم تجاری بزرگ متشکل از سازمان‌های قانونی، شرکت‌های حسابداری و منابع انسانی، مشاوره مدیریتی، شرکت‌های برون سپاری، فن‌آوری اطلاعات و ارائه‌دهندگان نرم‌افزار دارد. اگر این خطر مدیریت نشود تا از تبادل داده‌­ها و دیگر اطلاعات حساس محافظت کند، هریک از این فروشندگان یک نقطه ضعف بالقوه برای تهدیدهای سایبری خواهند بود.

جیک اولکات، نایب رئیس ارتباطات و امور دولتی در بیت‌سایت (Bit Sight) گفت: «مدیریت خطر سایبری شخص ثالث به سرعت تبدیل به نگرانی شماره یک برای کسب و کارها شده‌ است. بسیاری از افراد در سازمان‌ها برای مدیریت این خطر اقدام می‌کنند، اما بررسی ما نشان داده که هنوز راه طولانی برای بهبود وجود دارد.»

یافته‌های کلیدی از «خطر سایبری شخص ثالث» برای خدمات مالی عبارتند از:

  • خطر سایبری شخص ثالث روی تصمیمات کلیدی کسب و کار تاثیر می‌گذارد. نزدیک به ۹۷% پاسخ‌دهندگان بیان کرده‌­اند که خطر سایبری شخص ثالث یک مساله مهم است. در همین حال، نزدیک به ۸۰% پاسخ‌دهندگان گفتند که به دلیل عملکرد بد امنیت سایبری فروشنده، به پایان یا کاهش یک رابطه تجاری رسیده‌­اند. فقط یک‌دهم سازمان­‌ها، برنامه مشخصی برای کم کردن ریسک خطرات سایبری در رابطه با تامین‌کنندگانشان دارند.
  • فقدان ارزیابی و گزارش‌دهی خطر سایبری شخص ثالث وجود دارد.

فقط ۴۴% از پاسخ‌دهندگان «خطر سایبری شخص ثالث» را به مدیران خود گزارش می‌دهند. شاید همین فقدان گزارش‌‌دهی منظم، دلیل این باشد که چرا تقریباً از هر پنج نفر پاسخگو یک نفر فکر می‌کنند که هیئت مدیره و مدیران رویکردهای آنها را برای «مدیریت خطر شخص ثالث» (third-party risk management) (TPRM) را درک نمی‌کنند.

  • اکثر سازمان‌ها از ابزارهای بحرانی (Critical Tools) استفاده نمی‌کنند.

 پاسخ‌دهندگان گفتند که برای ارزیابی امنیتی شخص ثالث هنوز از ابزارهایی مثل ارزیابی سالانه سایت و پرسشنامه‌ها تکیه می‌کنند. این موضوع دید محدودی نسبت به خطر سایبری شخص ثالث به آنها می‌­دهد.

  • چالش‌‌ها و نگرانی‌های (third-party risk management) (TPRM) در آینده هم به رشد خود ادامه خواهند داد.

شرکت‌ها نگران دقت و صحت داده‌های ارزیابی ریسک (risk assessment) در سازمان‌های خود هستند. در آینده، آنها سعی خواهند کرد برنامه‌های امنیتی خود را موثرتر کنند. این پیشرفت به مدد به‌روز نگه داشتن و مانیتورینگ دائمی و اولویت‌بندی شده، حاصل خواهد شد.