Хотя компания сообщила о расходах на реагирование на киберинциденты и уязвимости в третьем квартале в размере 951 000 долларов США, они составляют лишь часть ее дохода.
< /p> DKosig через Getty Images
Компания Progress Software понесла минимальный ущерб от массовой эксплуатации уязвимости нулевого дня в своей службе передачи файлов MOVEit, несмотря на компрометацию цепочки поставок, от которой пострадали более 2100 организаций. Исследователи говорят, что в результате атак были раскрыты данные по меньшей мере 62 миллионов человек.
Прогресс сообщил о расходах на реагирование на киберинциденты и уязвимости в размере 951 000 долларов США в третьем финансовом квартале, который закончился 31 августа, и сообщил более подробную информацию. будет включен в предстоящий 10-й квартал.
Затраты составляют 0,5% от выручки в размере 175 миллионов долларов США. Прогресс, о котором сообщалось в течение квартала, вырос на 6% в годовом исчислении.
Влияние на бизнес в целом «минимально», и еще слишком рано оценивать влияние любого судебного разбирательства, заявил во вторник генеральный директор Йогеш Гупта во время телеконференции о прибылях и убытках компании.
«С точки зрения наших клиентов на самом деле, наши клиенты чрезвычайно положительно отзываются о том, что мы для них делаем», — Гупта – сказал он.
“На данный момент мы не видим того, что я бы назвал значимым влиянием со стороны наших клиентов”, – сказал он.
Прогресс не раскрывает цифры финансовых показателей MOVEit отдельно, но компания заявляет, что она составляет менее 4% от ее общего дохода.
Гупта не ответил прямо на вопрос аналитика с Уолл-стрит. о том, сколько клиентов покинуло платформу после серии атак, произошедших в конце мая.
Прогресс отклонил многочисленные запросы относительно того, сколько организаций использовали MOVEit, когда ранее неизвестная уязвимость была впервые обнаружена и широко использовалась.
Уязвимость нулевого дня была обнаружена и исправлена 31 мая, но ущерб уже был нанесен. Спустя почти четыре месяца последствия массового эксплойта все еще распространяются, что делает его крупнейшей кибератакой в этом году.
«Наша быстрая и прозрачная реакция с самого начала этого инцидента также вселила уверенность клиентов MOVEit. и мы считаем, что это помогло удержать наших клиентов», — сообщил Cybersecurity Dive по электронной почте представитель MOVEit.
«Это была скоординированная атака на среду наших клиентов со стороны сложной преступной организации. MOVEit Transfer — это локальное программное обеспечение, работающее в средах наших клиентов, поэтому мы не имеем возможности видеть данные, к которым получают доступ киберпреступники. Однако, как мы видим, В связи с раскрытием в средствах массовой информации информации о типе украденной информации мы глубоко сочувствуем отдельным конечным пользователям, которые пострадали от этой атаки», — заявили в компании.
«Прогресс продолжает тесно сотрудничать с нашими клиентами. Мы стремимся играть совместную роль в общеотраслевых усилиях по борьбе со все более изощренными и настойчивыми киберпреступниками, стремящимися злонамеренно использовать уязвимости в широко используемых программных продуктах», — заявили в MOVEit.
< p>Потенциальная боль впереди
Хотя Progress на сегодняшний день не претерпел каких-либо существенных последствий, связанных с массовой эксплойтом MOVEit, ситуация может измениться.
«Мы просто не знаем, какими могут быть последствия будущих судебных разбирательств, потому что еще очень рано, но в целом клиенты, честно говоря, очень довольны нашим ответом», — сказал Гупта во время телеконференции о прибылях и убытках.
< p>Через месяц после атак четверо пострадавших клиентов заявили, что будут требовать от Progress возмещения ущерба, а против компании было подано 11 коллективных исков от частных лиц, сообщила компания в своем отчете за 10-й квартал от 7 июля.
< р>Юридическая фирма по правам потребителей Hagens Berman в августе подала пять общенациональных коллективных исков против Progress, обвинив компанию в халатности, несправедливом обогащении и нарушении контракта.
Hagens Berman, одна из фирм, выбранных для завершения процесса Компания T-Mobile согласилась выплатить 350 миллионов долларов после взлома в 2021 году, утверждая, что широко используемая уязвимость в MOVEit существовала с 2021 года.
Progress ожидает понести дополнительные расходы на расследование, юридические и другие расходы, связанные с эксплуатацией уязвимости MOVEit, но заявляет, что не может разумно оценить диапазон возможных потерь. У компании имеется страховое покрытие кибербезопасности на сумму 12 миллионов долларов, которое она планирует реализовать в максимально возможной степени.
Клиенты несут основную тяжесть ущерба
Нижняя часть цепочки поставок Последствия для организаций, которые использовали эту услугу во время атаки, и их клиентов огромны и продолжают расти.
Крупные финансовые учреждения, юридические фирмы, страховые компании, школы, медицинские компании и правительственные учреждения имеют все возможности пострадала от этой медленно развивающейся катастрофы.
Это однобокое воздействие подчеркивает, почему барабанный бой принципов безопасности по замыслу и безопасности по умолчанию становится все громче, по мнению Кэтелла Тилемана, выдающегося вице-президента-аналитика Gartner.
«Экономическое уравнение до сих пор возлагало на себя большую часть бремени проблем с уязвимыми продуктами для пользователей, большинство из которых с наименьшей вероятностью смогут справиться с ними», — сказал Тилеманн по электронной почте.
«И рыночные силы на самом деле не поработали над тем, чтобы заставить производителей заботиться о них». достаточно, чтобы их предотвратить», — сказал Тилеманн.
Стремление переложить ответственность за безопасность технологических продуктов и услуг на производителей и поставщиков является ключевым элементом усилий федеральных киберорганизаций, изложенных в национальной киберстратегии.
«Многие сторонники этого сдвига утверждают, что разработчики и производители лучше всех разбираются в своей продукции, а также являются централизованным органом, выпускающим исправления, обновления и другие сервисные решения», — сообщила по электронной почте Эми Чанг, старший научный сотрудник по кибербезопасности и возникающим угрозам в R Street Institute.
Этот инцидент также подчеркивает «последующее влияние поставщиков, которые практически не использовали средства для устранения последствий взломанного программного обеспечения», — сказал Чанг.
Должны быть последствия для компаний, которые не могут устранить известные уязвимости, — Чанг сказал. Но «наказывать любую компанию, которая не может предвидеть последствия уязвимостей, которые еще предстоит обнаружить или использовать, было бы несправедливо и потенциально могло бы препятствовать инновациям».
