Ảnh minh họa. Security Brief Châu Á

Sự cố an ninh mạng bên thứ ba tiếp tục gia tăng dù siết chặt quản trị

Theo Báo cáo tổng quan toàn cầu hàng năm về tình trạng phòng vệ an ninh mạng chuỗi cung ứng và quản trị rủi ro từ đối tác bên thứ ba (State of Supply Chain Defence 2024) của công ty an ninh mạng BlueVoyant, 60% tổ chức được khảo sát tại Singapore cho biết quốc gia này đang vận hành chương trình quản trị rủi ro bên thứ ba ở mức "hoàn chỉnh" hoặc "tối ưu hóa" gần gấp đôi mức trung bình của khu vực châu Á - Thái Bình Dương và cao hơn cả thị trường Mỹ, vốn lâu nay được xem là chuẩn tham chiếu trong lĩnh vực này.

Dù đạt mức độ trưởng thành cao, 93% doanh nghiệp Singapore vẫn bị ảnh hưởng bởi sự cố an ninh mạng xuất phát từ nhà cung cấp, tăng mạnh so với mức 70% năm trước. BlueVoyant cho rằng điều này đến từ số lượng tấn công gia tăng và khả năng phát hiện tốt hơn.

BlueVoyant - doanh nghiệp chuyên về phòng vệ mạng và giám sát rủi ro chuỗi cung ứng đã ủy nhiệm Opinion Matters khảo sát 1.800 lãnh đạo cấp cao toàn cầu, trong đó có 300 giám đốc tại Singapore đến từ các tổ chức trên 1.000 nhân viên và phụ trách an ninh mạng, chuỗi cung ứng hoặc quản trị rủi ro.

Mức trưởng thành cao nhưng mức độ rủi ro gia tăng

Singapore tiếp tục được mô tả là quốc gia dẫn đầu toàn cầu về TPRM. Sáu trong mỗi mười tổ chức cho biết họ đã xây dựng chương trình quản trị rủi ro bài bản. Tuy nhiên, tình trạng sự cố chuỗi cung ứng vẫn phổ biến: 48% doanh nghiệp gặp 2–5 vụ tấn công qua nhà cung cấp trong năm 2015. 36% bị tấn công ít nhất 1 vụ.

Tổng cộng, hơn 56% doanh nghiệp đã trải qua nhiều sự cố liên quan đến nhà cung cấp. Nguyên nhân được cho là do hệ sinh thái nhà cung cấp mở rộng và mức độ phụ thuộc ngày càng tăng vào đối tác bên ngoài.

Ông William Oh, Giám đốc khu vực châu Á - Thái Bình Dương của BlueVoyant, nhận định vai trò trung tâm công nghệ của Singapore giúp quốc gia này xây dựng chuẩn mực TPRM cao. Tuy nhiên, ông nhấn mạnh: mức trưởng thành không đồng nghĩa với an toàn tuyệt đối, khi quy mô chuỗi cung ứng mở rộng khiến việc vận hành hiệu quả chương trình trở thành thách thức lớn.

Lãnh đạo quan tâm trực tiếp, tăng cường đầu tư

Khảo sát cho thấy mức độ quan tâm cao của các lãnh đạo doanh nghiệp: 32% tổ chức thông tin về rủi ro bên thứ ba cho cấp lãnh đạo điều hành ít nhất mỗi tháng. Nhịp báo cáo dày giúp doanh nghiệp phản ứng nhanh hơn với sự cố và phối hợp tốt hơn giữa các bộ phận.

Ngoài ra, 98% tổ chức tại Singapore dự kiến tăng ngân sách cho TPRM trong 12 tháng tới, cao hơn mức 90% của chu kỳ trước. Nhiều doanh nghiệp (45%) cũng thuê ngoài việc phân tích dữ liệu từ công cụ giám sát, do khối lượng thông tin quá lớn.

Xu hướng ứng dụng AI và tự động hóa giám sát bảo mật

Khoảng 64% lãnh đạo tại Singapore coi AI là công nghệ phù hợp nhất cho nhiệm vụ giám sát liên tục trong năm tới, đặc biệt khi bề mặt tấn công mở rộng. Xu hướng chuyển từ đánh giá định kỳ sang giám sát liên tục giúp các tổ chức phát hiện nhanh các thay đổi bất thường trong hệ thống của nhà cung cấp.

Giám sát liên tục bao gồm việc quét thường xuyên dấu vết kỹ thuật số và tình trạng bảo mật của nhà cung cấp, nhanh chóng phát hiện những thay đổi có thể cho thấy các lỗ hổng mới.

Dự báo, 67% doanh nghiệp cho rằng hệ sinh thái nhà cung cấp - đối tác của họ sẽ tăng 6-15% trong thời gian tới, khiến quy mô rủi ro bên ngoài tiếp tục phình to.

Khắc phục sự cố cũng là một lĩnh vực trọng tâm, theo báo cáo: 42% doanh nghiệp Singapore thuê các đối tác bên ngoài khắc phục và hỗ trợ nhà cung cấp xử lý lỗ hổng đã phát hiện, bao gồm cả việc lên kế hoạch chuyển đổi dịch vụ khi rủi ro không thể giải quyết dứt điểm.

Chuẩn tham chiếu toàn cầu về quản trị rủi ro

Báo cáo của BlueVoyant được xem là tiêu chuẩn tham chiếu quốc tế về quản trị rủi ro bên thứ ba, khảo sát cách doanh nghiệp đánh giá nhà cung cấp, theo dõi mức độ an toàn và phản ứng sau sự cố.

Ông Oh nhận định, kết quả năm nay cho thấy nhu cầu tích hợp sâu hơn rủi ro bên thứ ba vào chiến lược kinh doanh, thay vì chỉ coi đó là yêu cầu phải tuân thủ. Sự tham gia của lãnh đạo cấp cao và tự động hóa được xem là bước tiến quyết định trong các chương trình trưởng thành nhất.

An Lâm (Theo Security Brief)