Kolmannen osapuolen teknologiaan turvautuminen lisää tietojärjestelmän riskejä, muistuttaa ZDNet. Sen sijaan, että hyökkäys kohdistuisi suoraan isoon organisaatioon, saatetaan hyökkäystä valmistella etsimällä organisaation alihankintaketjun heikointa lenkkiä, ulkopuolelta ostettua työkalua, jonka tietoturva ei olekaan riittävän korkealla tasolla.

Joulukuussa uutisoitiin, kuinka muun muassa Yhdysvaltojen valtiovarainministeriö ja kauppaministeriö olivat joutuneet kyberhyökkäysten kohteiksi, kun niiden käyttämää SolarWinds-yhtiön verkonhallintasovellusta oli päästy peukaloimaan. Vastaaviin iskuihin kannattaa jatkossa varautua enenevissä määrin.

Esimerkkeinä ZDNet mainitsee SolarWinds-tapauksen ohella tänä vuonna Aasiassa nähdyt haittaohjelmahyökkäykset. Singaporessa 30 000 ihmisen tietoihin päästiin laittomasti käsiksi maaliskuussa, kun työnvälitysorganisaation järjestelmiin oli päästy käsiksi kolmannen osapuolen kautta. Aiemmin tänä vuonna 580 000:n Singapore Airlinesin kanta-asiakkaan tietoja päätyi hyökkääjien haltuun kolmannen osapuolen järjestelmässä olleen haavoittuvuuden vuoksi.

Monissa tapauksissa organisaatiot käyttävät tietojärjestelmissään valmiina ostettuja alustoja ja palveluja, joiden tietoturva nousee keskeiseen rooliin. ZDNetin haastatteleman Nanyangin teknillisen yliopiston asiantuntija Benjamin Angin mukaan tällainen hyökkäystapa ei ole uusi, mutta hyökkäyksissä on nyt nähtävissä isompi strategian muutos.

Hyökkääjän näkökulmasta kolmannen osapuolen haavoittuvuus saattaa olla edullisempi ja helpompi keino kuin suora hyökkäys isoa kohdetta vastaan. Isot organisaatiot ovat yleensä suojanneet omat järjestelmänsä hyvin, mutta alihankintaketjussa saattaa olla heikommin suojautuneita toimijoita. Kun jokin ulkopuolelta hankittu osio saastuu, on isokin organisaatio suuren uhan edessä.