على الرغم من أن أغلبية الشركات في العالم تملك سياسات أمنية خاصة فيما يتعلق بمشاركة البيانات مع الشركات الأخرى التي تعمل معها إلا أن عديدا منها ما زال حتى الآن لا يملك تلك السياسات، الأمر الذي يجعلها في وقت من الأوقات مضطرة إلى دفع مبالغ مالية كتعويضات بسبب إهمالها هذه السياسات وتعرض البيانات للتسريب من خلالها. فقد قال 71 في المائة من الشركات إن لديها سياسات توجيهية محددة للشركاء والمقاولين من الباطن تتعلق باستخدام البيانات وأمنها، كما أنها تلقت تعويضات بعد وقوع حوادث إلكترونية أثرت في الموردين الذين يشاركونها بياناتها، وفي المقابل قال 22 في المائة فقط من الشركات التي ليس لديها لوائح تنظيمية معمول بها، إنها تلقت مثل تلك التعويضات عقب تعرضها إلى هجمات أثرت في مورديها. وفي السياق ذاته، أظهرت دراسة بحثية قامت بها شركة جارتنر أن 71 في المائة من الشركات لديها في شبكتها أطراف خارجية أكثر مما كان عليه الحال قبل ثلاثة أعوام، متوقعة أن يرتفع هذا العدد مرة أخرى في الأعوام الثلاثة المقبلة، وتسمح الشركات للمقاولين العاملين من الباطن في كثير من الأحيان بالوصول إلى بياناتها الحساسة وأصول تقنية المعلومات لديها من أجل تمكينهم من الوفاء بالتزاماتهم في العمل. وكشفت دراسة قامت بها شركة كاسبرسكي أن 79 في المائة من الشركات لديها سياسات خاصة تشرح للشركاء والموردين كيفية التعامل مع الموارد والبيانات المشتركة، وتبين لهم العقوبات التي قد يتعرضون إليها في حال ارتكابهم انتهاكات تتعلق بأمن هذه الموارد والبيانات. وتبدو مخاوف الشركات منطقية؛ فوفقا للدراسة، تقدر الخسائر الناجمة عن حوادث الهجمات بنحو 2.57 مليون دولار في المتوسط، في حين تعد خروقات البيانات من بين أكبر ثلاث مشكلات تواجهها الشركات من ناحية التكلفة. وفي سياق متصل، وجد الباحثون عددا من الهجمات المعقدة التي تستهدف سلاسل التوريد، بينها الهجوم المعروف بالاسم ShadowPad. وتتمثل إحدى المنافع الرئيسة التي تعود على تنفيذ سياسات أمن البيانات المتعلقة بالأطراف الخارجية في كونها تحل الإشكاليات المتعلقة بالمسؤولية من خلال تحديد مجالات المسؤولية لكل الأطراف المعنية. وبالتالي، فهو يزيد فرص حصول الشركة على تعويض من مورد إذا ثبت أنه كان المدخل لوقوع الهجوم الأمني على الشركة. وأفادت 71 في المائة من الشركات التي تتبع وتنفذ سياسات لأمن البيانات متعلقة بالأطراف الخارجية بأنها تلقت تعويضا ماليا بعد وقوع حادث أمن رقمي، مقارنة بما نسبته 22 في المائة فقط من نظيراتها التي ليس لديها مثل تلك السياسات، التي وجدت الدراسة أنها تعزز احتمال تقديم التعويضات حتى إلى الشركات الصغيرة والمتوسطة. وتلقت 68 في المائة من الشركات الصغيرة والمتوسطة التي لديها سياسات أمنية تتعلق بالأطراف الخارجية أموالا تعويضية عن هجمات تعرضت إليها وأثرت في بياناتها، مقارنة بما نسبته 28 في المائة فقط ممن ليست لديها سياسات تحدد مسؤوليات الأمن الرقمي مع الموردين والمقاولين. وتعرض ما يقرب من ربع الشركات التي بلغت نسبتها 24 في المائة التي طبقت سياسات لأمن البيانات متعلقة بأطراف خارجية، إلى خرق للبيانات بسبب حادثة تتعلق بالأمن الرقمي أثرت في الموردين، وفي المقابل أكد 9 في المائة فقط من الشركات التي ليس لديها مثل هذه السياسات التوجيهية أنها تعرضت إلى هجمات. وينصح باتخاذ إجراءات أمنية للحماية من هجمات سلسلة التوريد وذلك عبر التحديث المنتظم لقائمة جميع الشركاء والموردين، والبيانات التي يمكنهم الوصول إليها مع التأكد من حصولهم فقط على الموارد التي يحتاجون إليها لتنفيذ أعمالهم، واستبعاد الجهات غير المتعاونة في هذا المجال ومنعها من الوصول إلى البيانات والأصول أو استخدامها، وتزويد جميع الأطراف الخارجية بالمتطلبات التي يجب عليها اتباعها، مثل ممارسات الامتثال والأمن. يذكر أن التقرير بني على دراسة عالمية لمخاطر أمن تقنية المعلومات في الشركات من شركة كاسبرسكي واشتمل على إجراء 4،958 مقابلة في 23 دولة، سئل المشاركون خلالها عن حالة أمن تقنية المعلومات في شركاتهم، وأنواع التهديدات التي يواجهونها والتكاليف التي يتعين عليهم التعامل معها عند التعافي من الهجمات.