W pewnym momencie awarii doświadcza największy dostawca usług internetowych w kraju. Płonie centrum danych, a centrum zapasowe zostaje poddane natężonemu cyber oblężeniu, uniemożliwiając wdrożenie tzw. Disaster Recovery Plan. Duża część społeczeństwa nagle traci kontakt ze światem, wybucha ogólnokrajowa panika. Coraz częściej słychać pytanie — jak to możliwe? Czy lider w branży cybernetycznej nie powinien spełniać najbardziej restrykcyjnych wymogów bezpieczeństwa?
W tym scenariuszu problemu nie stanowi sam dostawca usług internetowych. Hakerzy zidentyfikowali bowiem poważną lukę w jego łańcuchu dostaw — małą firmę zajmującą się usługami w chmurze. Po uzyskaniu dostępu do danych firmy, hakerzy otrzymali dostęp do systemu SSO giganta. Wystarczył jeden atak malware na niczego nieświadomym pracowniku małego przedsiębiorstwa, aby zdobyć dostęp do narzędzi pozwalających na zniszczenie krytycznej infrastruktury ogromnej firmy.
Przedsiębiorstwa, których obiekty pozostały nietknięte, muszą mierzyć się z coraz większym prawdopodobieństwem wystąpienia złożonych scenariuszy ataków, wykorzystujących również ingerencję fizyczną oraz możliwość wykorzystania przez przeciwnika tzw. insidera. Coraz częściej wykorzystywane są również luki w nadzorze łańcucha dostaw. Do pożaru doszło bowiem w podobnym okresie i w kilka miesięcy po awariach i sabotażach transformatorów, które znajdowały się w okolicy tego i innych podobnych obiektów. W okresie między tym zdarzeniem wiele innych firm z sektora odnotowało liczne cyberataki.
Obecny system
Przedsiębiorstwo dotknięte pożarem zmuszone jest czekać na wyniki śledztwa, a klienci tej i podobnych firm zaczynają przenosić swoje dane poza granice Polski w obawie przed podobnymi zdarzeniami. Dla firm IT i zaawansowanych technologii cyfrowych oznacza to niepowetowane straty finansowe i wizerunkowe.
Obecnie prawo nie podaje wystarczającej definicji elementów łańcucha dostaw infrastruktury krytycznej ani nie definiuje obowiązków podmiotów w zakresie jego zabezpieczenia. Obecnie brakuje jednolitych, państwowych standardów procedur weryfikacji dostawców. Skutkuje to tym, że każda firma ustala własną, odmienną oraz niekoniecznie efektywną metodykę sprawdzania partnerów, która z kolei zagraża całemu łańcuchowi. Nowe przepisy NIS2 nałożą na podmioty objęte ustawą obowiązek zarządzania ryzykiem w łańcuchu dostaw. Po wejściu ustawy, przedsiębiorcy będą zobligowani weryfikować dostawców w sposób systemowy, a w umowach zabezpieczać się odpowiednimi klauzulami.
Chociaż termin implementacji NIS2 minął 17 października 2024 r., Polska jest jednym z państw, które opóźniają proces legislacyjny. Taka sytuacja ułatwia wrogim podmiotom, m.in. państwom, infiltrację słabiej zabezpieczonych firm w łańcuchu dostaw lub „wpięcie się” w taki łańcuch w celu dokonania zmian w sprzęcie. Teoretycznie, wdrożenie dyrektywy NIS2 do polskiego porządku prawnego ma na celu bezpośrednie zaadresowanie tej luki. Jednak zanim jej praktyczna aplikacja stanie się efektywna, przeciwnik może zdążyć wypracować metody obchodzenia kontroli. Opóźnienie to może także zostać wykorzystane w celu wprowadzenia na rynek polski jak największej liczby urządzeń (np. czujników, UPS-ów) skonstruowanych tak, że zawiodą w odpowiednim dla przeciwnika momencie.
W obecnym systemie prawnym istnieje szereg zapisów, które de facto składają się w obowiązek wykrywania zagrożeń wewnętrznych. W praktyce jednak najbardziej dopracowane, wyrafinowane i skuteczne programy wykrywania, zapobiegania i zwalczania takich zagrożeń istnieją tylko w tych firmach, które przywiozły je ze sobą z Zachodu.
Insider threat i mezalians jako ryzyka systemowe
Świat nowych technologii jest światem zależności. Przedsiębiorstwa nie są w stanie zajmować się wszystkimi etapami produkcji swojego produktu lub usługi. Dlatego eliminowanie cyber zagrożeń nie jest możliwe tylko i wyłącznie poprzez wdrożenie nowoczesnych rozwiązań technicznych w jednym, najważniejszym podmiocie. Dobór odpowiednich partnerów i podwykonawców jest kluczowy przy mitygacji ryzyk systemowych, takich jak zagrożenia wewnętrzne (ang. insider threats).
Dobrym przykładem może być atak hakerski grupy LAPSUS$ na firmę Okta, zajmującą się zarządzaniem danych tożsamościowych i dostępem w chmurze. Poprzez zidentyfikowanie słabego punktu w łańcuchu dostaw „giganta”, firmę Sitel/SYKES zajmującą się obsługą klienta, hakerom udało się uzyskać uprawnienia do danych logowania jednego z pracowników firmy. Dzięki temu otrzymali oni dostęp do systemów 226 klientów korporacyjnych Okta. Atak miał ogromne skutki dla firmy— spadek wartości akcji, koszta związane z audytami oraz wymianą systemów bezpieczeństwa, oraz nieodwracalną utratę reputacji i zaufania klientów.
Incydenty takie jak ten dowodzą, że duża firma nie powinna opierać swoich systemów i rozwiązań na podmiotach, które nie spełniają odpowiednich wymogów cyberbezpieczeństwa. Nieodpowiedni dobór partnerów stanowi ogromne ryzyko operacyjne, finansowe i wizerunkowe dla dużych zleceniodawców, a skutki nieswoich zaniedbań mogą być przez nich odczuwane przez lata. Hakerzy wiedzą bowiem, że bardzo ciężko zaatakować dużego gracza — będą czyhać na słabszego, mniejszego podwykonawcę, aby skompromitować swój główny cel.
- Zanim przepisy NIS2 wejdą w życie, firmy powinny proaktywnie wprowadzić własne, zaostrzone procedury weryfikacji sprzętu, dostawców oraz łańcucha dostaw na wzór zachodnich środowisk biznesowych: należy przeprowadzać szczegółowe audyty, wymagać od dostawców certyfikatów bezpieczeństwa (np. ISO 28000) i sprawdzać sprzęt pod kątem luk. Choć jest to kosztowne, pozwala na wykrycie potencjalnych zagrożeń, zanim trafią one do centrum danych. Ponadto, firmy powinny same wypracowywać, aktualizować i stosować zestawy najlepszych praktyk i standardów w swojej branży, aby adaptacja do nowych wyzwań odbywała się szybko i w sposób skoordynowany.
- Wybór odpowiedniego modelu cyberbezpieczeństwa: na poziomie indywidualnego przedsiębiorstwa należy stwierdzić, które elementy zabezpieczenia przed cyberatakami jesteśmy w stanie wdrożyć sami, a które części musimy powierzyć partnerowi bądź podwykonawcy. Krok ten wymaga dogłębnej i efektywnej weryfikacji łańcucha dostaw przedsiębiorstwa, także pod kątem zagrożeń wewnętrznych.
- Wprowadzenie TPRA (ang. Third Party Risk Assessment): wprowadzenie formalnych procedur i metod zarządzania ryzykiem związanym z partnerstwem z podmiotami trzecimi. TPRA zakłada m.in. mapowanie i identyfikację dostawców i zależności, analizę procesów krytycznych, ocenę ryzyka oraz monitorowanie zagrożeń. Dzięki wdrożeniu tego systemu przedsiębiorstwa będą w stanie odpowiednio zabezpieczyć się przed zagrożeniami wewnętrznymi, a w razie sytuacji kryzysowej pozwala na szybką reakcję oraz zachowanie operacyjności.
- Regularne rewidowanie i testowanie planów zarządzania kryzysowego: powinny obejmować one nie tylko cyberbezpieczeństwo, awarie czy ataki fizyczne, ale i ataki hybrydowe. Ponadto, firmy powinny regularnie replikować dane w niezależnych ośrodkach, nawet jeśli nie są elementem infrastruktury krytycznej. Dzięki temu nawet katastrofa fizyczna nie doprowadzi do ich całkowitej utraty, co pozwoli na szybkie wznowienie działalności
