A finales de 2020, El asunto de SolarWinds traumatizado más de un negocio. Pirates luego atacan las actualizaciones de la plataforma de vigilancia de redes de TI y Orion de editor, infiltrando así el SI de unas 18,000 organizaciones de clientes. Entre ellos, nada menos que los ministerios estadounidenses de defensa, tesoro, energía, seguridad interna y comercio, o Microsoft. El mundo económico luego descubre el alcance del riesgo vinculado a la vulnerabilidad de las cadenas de suministro de software.

En 2022, nuevamente en 2024, BlackBerry, especializado en seguridad de IoT, buscó evaluar a partir de miles de decisiones de TI en el mundo el impacto financiero y que se vinculó con la reputación de estos ataques, a través de un estudio titulado "Cadenas de suministro de software: un desafío importante para la ciberseguridad". Como especifica el canadiense, el asunto de Solarwind condujo por primera vez al fortalecimiento de las regulaciones en todo el mundo sobre el tema (Ley de Enmienda de Legislación de Seguridad 2022 en los Estados Unidos, NIS 2 o Dora en la UE, etc.), pero ¿qué pasa con la conciencia de las organizaciones públicas y privadas y los dispositivos implementados para prevenir estos ataques? Porque, según BlackBerry, las tres cuartas partes del suministro de cadenas de software han sido atacados en los últimos 12 meses.

Una conciencia muy relativa

Primera observación, esta conciencia sigue siendo bastante relativa. El 80 % de los encuestados fueron bien informados de la existencia de una vulnerabilidad o un ataque dentro de su cadena de suministro de software dentro de los 12 meses anteriores a la encuesta. Esto se habría traducido como interrupciones significativas de sus operaciones, la pérdida de datos o una degradación de la reputación. Además, tres cuartos de los ataques cuyas organizaciones en cuestión eran víctimas provenían de editores vulnerables, que no habían identificado o simplemente no monitoreado. Sin embargo, solo el 51% de las organizaciones en cuestión se han recuperado de las perturbaciones generadas en menos de una semana, contra el 53% en 2022. Y para casi el 40% de los encuestados, tardó un largo mes en recuperarse del ataque.

Se reconoce el riesgo inherente a la cadena de suministro de software. Casi dos tercios de los encuestados consideran las pérdidas financieras como el peligro más importante, el 59% de pérdidas de datos y el 58% de daño de reputación, incluso antes del impacto operativo (55%). A pesar de estas observaciones, más de dos tercios de las organizaciones confían en sus proveedores para identificar y prevenir vulnerabilidades, y casi tanto le da a su cadena de suministro de software un solo blanco en términos de cumplimiento de las regulaciones.

Inventarios cibernéticos de la cadena de suministro

En términos de acción concreta, dos de cada cinco encuestados aún dicen que controle regularmente a sus socios para hacer un inventario cibernético de su cadena de suministro de software. Y tanto como un inventario cada trimestre, a través de una factura de material de software (SBOM), por ejemplo. Entre los frenos más citados para hacer tales inventarios, existe la falta de comprensión técnica, visibilidad y herramientas efectivas.

Finalmente, paradójicamente, casi 4 de cada 5 organizaciones no impiden a sus clientes en caso de una falla en su cadena de suministro de software, principalmente por temor al impacto en términos de reputación. Incluso si la comunicación de crisis se ha dedicado a la transparencia durante mucho tiempo, para evitar este tipo de situación.