Μια νέα έρευνα από Πανοράματα παρουσιάζει μια ανησυχητική εικόνα της κατάστασης της διαχείρισης κινδύνων ασφάλειας τρίτων. Παρά την αυξανόμενη ευαισθητοποίηση σχετικά με τα τρωτά σημεία της εφοδιαστικής αλυσίδας, οι περισσότεροι ηγέτες ασφάλειας εξακολουθούν να μην μπορούν να δουν τι έρχεται από την πίσω πόρτα τους. Η Panorays είναι ένας παγκόσμιος πάροχος λογισμικού διαχείρισης κυβερνοασφάλειας τρίτων. Η Έρευνα CISO 2026 για τη διαχείριση κινδύνων στον κυβερνοχώρο τρίτωνμε βάση τις απαντήσεις από 200 Αρχηγούς Ασφάλειας Πληροφοριών με έδρα τις ΗΠΑ, αποκαλύπτει μια εντυπωσιακή αποσύνδεση μεταξύ των αντιληπτών απειλών και της πραγματικής ετοιμότητας.
Ενώ το 60% των CISO αναφέρει αύξηση των περιστατικών ασφάλειας τρίτων κατά το παρελθόν έτος, μόνο το 15% δηλώνει ότι έχει πλήρη ορατότητα αυτών των κινδύνων. Το υπόλοιπο 85% λειτουργεί με σημαντικά τυφλά σημεία.
Αυτό το κενό ορατότητας δημιουργεί πραγματική έκθεση. Οργανισμοί χωρίς ξεκάθαρες οπτικές γραμμές στις αλυσίδες εφοδιασμού τους είναι όλο και πιο ευαίσθητοι σε παρατεταμένες διακοπές λειτουργίας, έκθεση ευαίσθητων συστημάτων, οικονομικές απώλειες και κυρώσεις παραβίασης συμμόρφωσης. Χωρίς την κατάλληλη παρακολούθηση, ακόμη και μικρά περιστατικά έχουν τη δυνατότητα να ξεφύγουν από τον έλεγχο.
Η έρευνα διεξήχθη τον Οκτώβριο του 2025 από την Global Surveyz, μια ανεξάρτητη ερευνητική εταιρεία, για λογαριασμό της Panorays. Το δείγμα περιελάμβανε 200 Chief Information Security Officers από εταιρείες με έδρα τις ΗΠΑ στους τομείς των χρηματοοικονομικών, των ασφαλειών, των επαγγελματικών υπηρεσιών, της τεχνολογίας, της υγειονομικής περίθαλψης και της ανάπτυξης λογισμικού. Όλοι οι ερωτηθέντες είναι υπάλληλοι πλήρους απασχόλησης που είναι υπεύθυνοι για την επίβλεψη της διαχείρισης κινδύνου κυβερνοασφάλειας τρίτων στους οργανισμούς τους.
Η ευαισθητοποίηση είναι υψηλή, αλλά η ετοιμότητα παραμένει επικίνδυνα χαμηλή
Η έρευνα διαπίστωσε ότι το 77% των CISO αναγνωρίζουν τον κίνδυνο τρίτων ως σημαντική απειλή για τους οργανισμούς τους. Ωστόσο, μόνο το 21% έχει δοκιμάσει σχέδια αντιμετώπισης κρίσεων. Αυτό το χάσμα μεταξύ αναγνώρισης και ετοιμότητας υποδηλώνει ότι πολλοί οργανισμοί περιμένουν να συμβεί μια παραβίαση πριν αναλάβουν δράση.
Το πρόβλημα εκτείνεται πέρα από τους άμεσους προμηθευτές. Αν και το 60% των ερωτηθέντων αναφέρει αυξανόμενες παραβιάσεις τρίτων, μόλις το 41% παρακολουθεί τον κίνδυνο πέρα από τους άμεσους προμηθευτές τους. Αυτό σημαίνει ότι οι CISO παρακολουθούν την μπροστινή πόρτα ενώ οι μεγαλύτεροι κίνδυνοι κρύβονται στο παρασκήνιο—σε σχέσεις τέταρτου και πέμπτου μέρους που οι περισσότερες ομάδες ασφαλείας δεν εξετάζουν ποτέ.
«Τα ευρήματά μας δείχνουν ότι οι ευπάθειες ασφαλείας τρίτων δεν εξαφανίζονται – στην πραγματικότητα, γίνονται όλο και πιο διαδεδομένες λόγω της επικίνδυνης έλλειψης ορατότητας και της αχαλίνωτης υιοθέτησης μη διαχειριζόμενων εργαλείων AI», δήλωσε ο Matan Or-El, ιδρυτής και Διευθύνων Σύμβουλος της Panorays. «Εν τω μεταξύ, είναι ιδιαίτερα ανησυχητικό το γεγονός ότι μόνο το 15% των CISO δηλώνουν ότι έχουν τη δυνατότητα να χαρτογραφήσουν ολόκληρες τις αλυσίδες εφοδιασμού τους».
Shadow AI: Το νέο τυφλό σημείο
Ένα από τα πιο ανησυχητικά ευρήματα αφορά την τεχνητή νοημοσύνη. Παρά την ταχεία υιοθέτηση της τεχνητής νοημοσύνης σε όλες τις επιχειρήσεις, μόνο το 22% των CISO διαθέτει επίσημες διαδικασίες ελέγχου για εργαλεία τεχνητής νοημοσύνης. Αυτό αφήνει τα μη διαχειριζόμενα συστήματα τεχνητής νοημοσύνης τρίτων κατασκευαστών ενσωματωμένα σε βασικά περιβάλλοντα χωρίς τον κατάλληλο έλεγχο ασφαλείας.
Ο κίνδυνος είναι σημαντικός: το 60% των ερωτηθέντων αναγνώρισε τα μη διαχειριζόμενα εργαλεία τεχνητής νοημοσύνης ως μοναδικά επικίνδυνα. Οι ομάδες υιοθετούν εργαλεία τεχνητής νοημοσύνης μαύρου κουτιού πιο γρήγορα από ό,τι μπορούν να τα αξιολογήσουν οι ομάδες ασφαλείας, δημιουργώντας ένα αυξανόμενο τυφλό σημείο καθώς τα συστήματα τρίτων υψηλού κινδύνου έχουν πρόσβαση σε περιβάλλοντα πληροφορικής χωρίς επίβλεψη.
«Η άνοδος της τεχνητής νοημοσύνης έκανε μόνο πιο περίπλοκες τις αλυσίδες εφοδιασμού και η συνδεδεμένη φύση αυτών των συστημάτων που εξαρτώνται από δεδομένα επεκτείνει την επιφάνεια επίθεσης», σημείωσε ο Or-El. «Οι CISO βλέπουν όλο και περισσότερο την αξία των λύσεων που βασίζονται στην τεχνητή νοημοσύνη για να αυξήσουν τη σαφήνεια γύρω από το εξελισσόμενο τοπίο απειλών».
Οι πλατφόρμες GRC αποτυγχάνουν στις ομάδες ασφαλείας
Εδώ είναι που τα ευρήματα αποκτούν ιδιαίτερο ενδιαφέρον: οι εταιρείες επενδύουν πολλά σε εργαλεία ασφαλείας, αλλά αυτά τα εργαλεία δεν αποφέρουν αποτελέσματα.
Η έρευνα διαπίστωσε ότι το 61% των επιχειρήσεων έχουν επενδύσει σε λύσεις λογισμικού Διακυβέρνησης, Κινδύνου και Συμμόρφωσης (GRC) — μια δραματική αύξηση από μόλις 27% στην έκθεση 2025 της Panorays. Ωστόσο, παρά αυτή την αύξηση της υιοθέτησης, το 66% των CISO λέει ότι αυτές οι πλατφόρμες είναι αναποτελεσματικές στην αντιμετώπιση της δυναμικής φύσης των εξωτερικών κινδύνων της εφοδιαστικής αλυσίδας τρίτων.
Το αποτέλεσμα; Οι ομάδες ασφαλείας αναγκάζονται να βασίζονται σε χειροκίνητες λύσεις, αυξάνοντας την πιθανότητα να ξεφύγουν τα τρωτά σημεία. Περισσότερες δαπάνες δεν μεταφράζονται σε καλύτερη ορατότητα. Κάτι στην τρέχουσα προσέγγιση δεν λειτουργεί.
Οι παραδοσιακές αξιολογήσεις ασφαλείας υπολείπονται επίσης. Ένα πλήρες 71% των CISO παραδέχεται ότι τα παραδοσιακά ερωτηματολόγια δεν ανταποκρίνονται πλέον στις προσδοκίες. Αντί να παρέχουν ορατότητα στο τοπίο της απειλής, αυτές οι στατικές αξιολογήσεις δημιουργούν κόπωση—ατελείωτες μορφές που δημιουργούν έγγραφα συμμόρφωσης αλλά αποτυγχάνουν να αναδείξουν τους πραγματικούς κινδύνους.
Τα εργαλεία που βασίζονται σε AI αποκτούν έλξη
Παρά τη ζοφερή συνολική εικόνα, υπάρχουν ενθαρρυντικά σημάδια ότι οι οργανισμοί προσαρμόζονται. Οι CISO στρέφονται όλο και περισσότερο σε εργαλεία αξιολόγησης που βασίζονται στην τεχνητή νοημοσύνη ως εναλλακτική λύση στις αποτυχημένες παραδοσιακές προσεγγίσεις. Η υιοθέτηση της τεχνητής νοημοσύνης για τη διαχείριση κινδύνου από τρίτους έχει αυξηθεί από 27% πριν από ένα χρόνο σε 66% φέτος.
Αυτή η μετατόπιση παράγει μετρήσιμα αποτελέσματα. Το ποσοστό των CISO που αναφέρουν πλήρη προβολή στις αλυσίδες εφοδιασμού λογισμικού τους έχει βελτιωθεί από μόλις 3% το 2025 σε 15% το 2026. Αυτό είναι μια πενταπλάσια αύξηση σε ένα χρόνο.
Αλλά η προοπτική έχει σημασία εδώ. Ενώ η πρόοδος είναι πραγματική, το 85% των οργανισμών εξακολουθούν να μην έχουν πλήρη εικόνα του συνολικού τοπίου απειλών τους. Η μετάβαση από το 3% στο 15% είναι μια βελτίωση. Δεν είναι επιτυχία.
Η πορεία προς τα εμπρός
Τα ευρήματα της έρευνας δείχνουν μια θεμελιώδη πρόκληση στη σύγχρονη κυβερνοασφάλεια. Οι αλυσίδες εφοδιασμού γίνονται πιο περίπλοκες, όχι λιγότερο. Ο πολλαπλασιασμός των εργαλείων τεχνητής νοημοσύνης -τόσο με κυρώσεις όσο και σκιώδεις- επεκτείνει την επιφάνεια επίθεσης πιο γρήγορα από ό,τι μπορούν να χαρτογραφήσουν οι ομάδες ασφαλείας. Και τα εργαλεία στα οποία έχουν επενδύσει οι οργανισμοί την τελευταία δεκαετία δεν σχεδιάστηκαν για τη διαχείριση δυναμικών, διασυνδεδεμένων κινδύνων τρίτων σε κλίμακα.
Για τους CISO, το μήνυμα είναι σαφές: η ευαισθητοποίηση χωρίς ορατότητα δεν αρκεί. Τα σχέδια κρίσης που δεν έχουν δοκιμαστεί δεν είναι στην πραγματικότητα σχέδια. Και το να παρακολουθείτε μόνο τους άμεσους προμηθευτές ενώ αγνοείτε το ευρύτερο οικοσύστημα είναι μια στρατηγική που αφήνει πάρα πολλές πόρτες αφύλακτες.
Οι οργανισμοί που κλείνουν αυτό το κενό θα είναι εκείνοι που θα προχωρήσουν πέρα από τη συμμόρφωση με το πλαίσιο ελέγχου προς τη συνεχή παρακολούθηση ολόκληρης της αλυσίδας εφοδιασμού τους με τη βοήθεια AI. Το 85% που δεν το κάνει θα συνεχίσει να πετάει στα τυφλά—μέχρι κάτι να τους αναγκάσει να δουν.
VIA: DataConomy.com
