Eksperci ds. cyber bezpieczeństwa ESET alarmują: wzrasta liczba cyberataków na łańcuchy dostaw. Pojedynczy atak może zainfekować ogromną liczbę urządzeń należących należących do organizacji komercyjnych i rządowych. Zainfekowaniu mogą ulec też końcowe produkty, które trafiają do konsumentów.
Firma ESET od lat bada przypadki ataków wymierzonych w branżę produkcyjną. Łańcuchy dostaw to rozległe procesy, rozpoczynające się od pozyskiwania surowców, a kończące w momencie, gdy do rąk użytkowników trafiają gotowe produkty. Pomiędzy tymi dwoma etapami rozgrywają się procesy projektowania, produkcji, dystrybucji itp. Mnogość elementów składających się na łańcuchy dostaw, to doskonałe środowisko dla cyberprzestępców. Istnieje ryzyko, że w tym systemie, korzystającym z wielu cyfrowych rozwiązań, uda im się znaleźć luki i odpowiednio je wykorzystać – stosując zasadę najsłabszego ogniwa.
Efekt kuli śnieżnej
Globalny cyberatak może rozpocząć się od zainfekowania drobnego elementu, np. oprogramowania w routerze a później szybko się rozprzestrzeniać. Przykład: atak na firmę FireEye – dostawcą zabezpieczeń. Atakującym udało się stworzyć i dostarczyć aktualizację, zawierającą złośliwe fragmenty kodu do programu o nazwie Orion, firmy SolarWinds, z którego korzystał FireEye. Wykryty backdoor „zakaził” produkt końcowy, którego zadaniem jest zaawansowane zarządzanie siecią. Skażona aktualizacja trafiła do około 18 tys. firm z całego świata oraz organizacji rządowych. Umożliwiło to hakerom prowadzanie dalszych działań w przypadku co najmniej 100 z nich.
Zobacz: Hackerzy opublikowali dane wykradzione z PEKAES
– Potencjał szkód wynikających z ataków na łańcuchy dostaw jest olbrzymi. Naruszając bezpieczeństwo tylko jednego dostawcy lub jednego elementu produktu, cyberprzestępcy mogą uzyskać nieograniczony i trudny do wykrycia dostęp do dużych obszarów i szerokiej bazy klientów. W samym czwartym kwartale 2020 roku badacze ESET odkryli tyle przypadków ataków na łańcuchy dostaw, ile w poprzednich latach obserwowano rocznie. Tendencja ta będzie wzrastać, bo branża usługowo-produkcyjna dynamicznie się rozwija. Nieautoryzowany dostęp do jednego z dostawców to cenny towar, który można odsprzedać podmiotowi zewnętrznemu, otrzymując sowitą zapłatę. To szczególnie motywuje środowisko cyberprzestępcze do dalszych działań – komentuje Beniamin Szczepankiewicz, starszy analityk zagrożeń w ESET.
Atak na łańcuchy dostaw może dotknąć każdego
Postępująca cyfryzacja i automatyzacja produkcji musi wiązać się z odpowiednimi procedurami bezpieczeństwa. Gdy w proces wytwórczy zaangażowane są np. roboty i specjalistyczne oprogramowanie, każda złośliwa ingerencja może doprowadzić do tragicznych skutów. W wyniku cyberataku infrastruktura krytyczna jak np. elektrownie, zakłady produkcyjne, stacje filtrowania i ujęcia wody mogą przestać poprawnie działać, a to może realnie wpłynąć na życie codzienne wielu ludzi.
Kontrola łańcucha dostaw
Kontrola bezpieczeństwa łańcucha dostaw to olbrzymie wyzwanie dla przedsiębiorstw, a perspektywa uzyskania 100-proc. pewności jest niemal niemożliwa. Minimalizacja zagrożeń to zatem tak naprawdę niekończącą się pętla zarządzania ryzykiem i zgodnością. W przypadku firmy SolarWinds, dopiero dogłębna inspekcja produktu po ataku pozwoliła zidentyfikować złośliwe fragmenty, umieszczone głęboko w kodzie. Jednak specjaliści ds. cyberbezpieczeństwa w dalszym ciągu przyglądają się nowym faktom w tej sprawie, wskazującym, że atak mógł mieć miejsce dużo wcześniej, niż pierwotnie zakładano.
Zasady bezpieczeństwa
W obliczu takich zagrożeń, przedsiębiorstwa produkcyjne muszą przede wszystkim mieć wgląd w informacje na temat wszystkich swoich dostawców i dostarczanych przez nich komponentów, w tym w obowiązujące zasady, procedury i systemy zabezpieczające. Powinny także rozwijać własne polityki bezpieczeństwa oparte o zasady takie jak m.in. regularne testy penetracyjne, uwierzytelnianie dwuskładnikowe czy oprogramowanie zabezpieczające gwarantujące wielowarstwową ochronę. Warto mieć świadomość, że aby uratować reputację firmy, nie wystarczą stosowne umowy prawne określające winę lub czyniące dostawcę odpowiedzialnym. W oczach konsumentów i opinii publicznej odpowiedzialność spoczywa na firmie, od której użytkownicy kupują produkt lub usługę.