Świat biznesu opiera się na łańcuchach dostaw, które ułatwiają globalny przepływ usług i towarów. Sieci nakładających się na siebie i powiązanych ze sobą firm są coraz bardziej złożone i nieprzejrzyste. Większość z nich obejmuje dostawę oprogramowania i usług cyfrowych lub przynajmniej jest w jakiś sposób zależna od interakcji online. To naraża je na ryzyko cyberataków.
W 2022 r. w Stanach Zjednoczonych odnotowano o 40 proc. więcej ataków na łańcuchy dostaw niż ataków opartych na złośliwym oprogramowaniu. Doprowadziły one do naruszeń, które dotknęły ponad 10 milionów osób(1).
Zarządzanie ryzykiem w łańcuchu dostaw może stanowić wyzwanie, zwłaszcza dla małych i średnich firm, które często nie mają wystarczających zasobów IT. Niemniej jednak poleganie wyłącznie na zaufaniu wobec partnerów i dostawców w kwestii cyberbezpieczeństwa stwarza zbyt duże ryzyko, biorąc pod uwagę obecny, naprawdę wysoki poziom zagrożeń.
Czym jest ryzyko związane z łańcuchem dostaw?
Cyberzagrożenia w łańcuchu dostaw mogą przybierać różne formy, od oprogramowania ransomware i kradzieży danych po odmowę dostępu (DDoS) i oszustwa. Celem zwykle bywają firmy świadczące profesjonalne usługi (np. prawne czy księgowe) lub dostawcy oprogramowania biznesowego. Atakowani mogą również być dostawcy usług zarządzanych (MSP).
Celem przestępców jest, by dzięki atakowi na jedną firmę uzyskać dostęp do dużej liczby jej klientów. Badania z ubiegłego roku wykazały, że 90 proc. dostawców usług zarządzanych padło ofiarą cyberataku w ciągu ostatnich 18 miesięcy(2).
Oto 5 najbardziej popularnych rodzajów ataków na podwykonawców i dostawców.
1. Przejęte oprogramowanie
Cyberprzestępcom czasami udaje się znaleźć sposób na dodanie złośliwego kodu do oprogramowania, który jest dostarczany klientom. Tak właśnie stało się w przypadku kampanii ransomware Kaseya czy niedawnych ataków poprzez zmodyfikowane oprogramowanie MOVEit, wykorzystywane przed duże firmy i instytucje finansowe. W ten sposób skradziono dane setkom użytkowników korporacyjnych, co w konsekwencji miało wpływ na miliony ich klientów.
2. Ataki na programy open source
Większość deweloperów korzysta z komponentów open source, aby przyspieszyć czas wprowadzania na rynek swoich produktów. Oczywiście wiedzą o tym cyberprzestępcy, którzy zaczęli umieszczać złośliwe oprogramowanie w takich komponentach i udostępniać je w popularnych repozytoriach kodu. Liczba takich ataków wzrosła o 633 proc. rok do roku(3).
3. Podszywanie się pod dostawców
Wyrafinowane ataki znane jako business e-mail compromise (BEC) czasami prowadzone są przez oszustów podszywających się pod dostawców i nakłaniających klienta do przelania im pieniędzy. Atakujący zwykle przejmuje konto e-mail należące do osoby pracującej dla podwykonawcy i wysyła fałszywe faktury ze zmienionymi danymi bankowymi.
4. Kradzież danych uwierzytelniających
Atakujący kradną dane logowania dostawców i próbują włamać się do systemów jego klientów.
5. Kradzież danych
Wielu dostawców przechowuje wrażliwe informacje na temat swoich klientów. Dotyczy to zwłaszcza firm takich jak np. kancelarie prawne lub instytucje medyczne. Stanowią one atrakcyjny cel cyberprzestępców, którzy mogą wykorzystać skradzioną wiedzę do szantaży.
@@
Jak ograniczać ryzyko?
Niezależnie od tego, jaki rodzaj ataku dotknie firmę, efekt może być taki sam: szkody finansowe i wizerunkowe oraz ryzyko pozwów sądowych, przestojów operacyjnych i utraty klientów. Możliwe jest jednak zarządzanie tym ryzykiem.
Oto 8 zasad, które mogą uchronić nas przed ryzykami.
1. Przeprowadzenie przeglądu ryzyka u wszystkich dostawców
Na początek najistotniejsze jest dokładne zrozumienie, kim są Twoi dostawcy, a następnie sprawdzenie, czy
stosują oni podstawowe środki bezpieczeństwa, które powinny obejmować również ich własne łańcuchy dostaw. Często przeprowadzaj audyty i sprawdzaj akredytację zgodnie z normami i przepisami branżowymi.
2. Staranna analiza każdego nowego dostawcy
Pamiętaj o dokładnym sprawdzeniu dbałości o bezpieczeństwo każdego nowego dostawcy, z którym rozpoczynasz współpracę.
3. Lista wszystkich zatwierdzonych dostawców
Regularne audyty i aktualizacje listy dostawców umożliwią organizacjom przeprowadzanie dokładnych ocen ryzyka, identyfikację potencjalnych słabych punktów i zapewnienie, że dostawcy przestrzegają standardów cyberbezpieczeństwa.
4. Stworzenie polityki dla dostawców
Służy ona jako podstawowy dokument określający oczekiwania, standardy i procedury, których dostawcy muszą przestrzegać, aby zapewnić bezpieczeństwo całego łańcucha.
5. Zarządzanie ryzykiem związanym z oprogramowaniem open source
Jednym ze sposobów jest korzystanie z narzędzi do analizy składu oprogramowania (SCA) w celu uzyskania wglądu w komponenty oprogramowania, wraz z ciągłym skanowaniem w poszukiwaniu luk i złośliwego oprogramowania oraz szybkim łataniem wszelkich błędów. Warto upewnić się również, że zespoły programistów rozumieją znaczenie bezpieczeństwa podczas opracowywania produktów.
6. Zarządzanie ryzykiem związanym z dostępem dostawców
Warto trzymać się zasady, która zaleca przyznawanie najmniejszych możliwych uprawnień dla wszystkich dostawców. Dobrze jest wdrożyć podejście Zero Trust, w którym wszyscy użytkownicy i urządzenia są niezaufane do czasu weryfikacji. Kontrahentom przyznawać zaś czasowy dostęp do danych, który jest niezbędny do wykonania usługi.
7. Opracowanie planu reagowania na incydenty
Na wypadek najgorszego scenariusza, upewnij się, że masz przećwiczony plan. Dzięki temu może uda się nam powstrzymać zagrożenie, zanim będzie miało szansę wpłynąć na organizację. Plan powinien zawierać sposób współpracy z zespołami pracującymi dla dostawców. Przeprowadzaj symulację incydentów cyberbezpieczeństwa opartych na przykładach, które zdarzyły się już innym firmom.
8. Rozważ wdrożenie standardów branżowych
Normy ISO 27001 i ISO 28000 zawierają wiele przydatnych sposobów, które pozwalają zminimalizować ryzyka związane z dostawcami.
Autor: analityk laboratorium antywirusowego ESET
1. https://www.idtheftcenter.org/publication/2022-post_date-breach-report/?utm_source=press+release
2. https://www.msspalert.com/news/90-of-msps-suffer-successful-cyberattacks-n-able-research-finds
3. https://www.sonatype.com/state-of-the-software-supply-chain/Introduction
