Świat biznesu opiera się na łańcuchach dostaw, które ułatwiają globalny przepływ usług i towarów. Sieci powiązanych ze sobą firm są coraz bardziej złożone i nieprzejrzyste. Większość z nich obejmuje dostawę oprogramowania i usług cyfrowych lub przynajmniej jest w jakiś sposób zależna od interakcji online.
- Zarządzanie ryzykiem w łańcuchu dostaw może stanowić wyzwanie, zwłaszcza dla małych i średnich firm, które często nie mają wystarczających zasobów IT. Niemniej jednak poleganie wyłącznie na zaufaniu wobec partnerów i dostawców w kwestii cyberbezpieczeństwa stwarza zbyt duże ryzyko, biorąc pod uwagę obecny, naprawdę wysoki poziom zagrożeń – mówi Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.
Różne rodzaje ataków
Cyberprzestępcy atakujący łańcuchy dostaw korzystają z oprogramowania ransomware, jak również kradną dane i dopuszczają się oszustw. Ich celem są zazwyczaj profesjonalne firmy prawne lub księgowe, dostawcy oprogramowania biznesowego oraz usług zarządzanych. Poprzez atak na firmę pośrednią przestępcy chcą uzyskać dostęp do dużej liczby obsługiwanych klientów. Jak wynika z raportu „State of the Market: The New Threat Landscape”, w ciągu ostatnich 18 miesięcy ofiarą cyberataków padło 90 proc. dostawców usług zarządzanych.
Na jakie rodzaje działań hakerów narażeni są podwykonawcy i dostawcy? Po pierwsze – grozi im przejęcie oprogramowania. Cyberprzestępcy szukają sposobu na dodanie złośliwego kodu do programu, która jest dostarczany klientom. Przykładem może być kampania ransomware Kaseya lub niedawne ataki poprzez zmodyfikowanie aplikacji MOVEit. W ten sposób setkom użytkowników korporacyjnych skradziono dane dotyczące milionów ich klientów.
Drugie zagrożenie - większość deweloperów w celu przyspieszenia terminu wprowadzenia produktów na rynek korzysta z rozwiązań open source, czyli oprogramowania, dla którego oryginalny kod źródłowy jest udostępniany bezpłatnie i może być modyfikowany. Wiedzą o tym cyberprzestępcy, którzy już zaczęli umieszczać w nim złośliwe oprogramowanie i udostępniać go w popularnych repozytoriach kodu. Według raportu Sonatype liczba takich ataków wzrosła rok do roku o 633 proc.
Ponadto niektórzy hakerzy podszywają się pod dostawców. Takie działania określane są jako business email compromise (BEC), a ich celem jest nakłonienie klienta do przelania pieniędzy. Atakujący zwykle przejmuje konto mejlowe należące do osoby pracującej dla podwykonawcy i wysyła fałszywe faktury ze zmienionymi danymi bankowymi.
Kolejnym zagrożeniem są kradzieże wrażliwych danych klientów. Te informacje są dla cyberprzestępców atrakcyjnym celem – mogą oni wykorzystać skradzioną wiedzę do szantaży. Hakerzy kradną także dane uwierzytelniające dostawców i próbują włamać się do systemów informatycznych ich klientów.
Weź udział w konferencji “C-Level Cybersecurity Forum”, 16 kwietnia 2024, Warszawa >>
Sposoby zabezpieczenia
Według ekspertów, stosując pewne zasady możemy uchronić firmę przez atakami na łańcuchy dostaw. Najważniejsza jest analiza, czy dostawcy posiadają podstawowe środki bezpieczeństwa. Warto w tym celu przeprowadzać audyty, aktualizować listy dostawców i sprawdzać, czy dysponują akredytacjami zgodnymi z normami i przepisami branżowymi. Zasada ta dotyczy zarówno stałych, jak i nowych partnerów.
Istotne jest także opracowanie polityki dotyczącej łańcuchu dostaw. Mają być w niej określone oczekiwania, standardy i procedury, których dostawcy muszą przestrzegać w celu zachowania bezpieczeństwa.
Niezbędnym działaniem jest również zarządzanie ryzykiem wynikającym ze stosowania rozwiązań open source. W tym aspekcie mogą pomóc narzędzia do analizy składu oprogramowania. Aby zminimalizować niebezpieczeństwo, należy przyznawać dostawcom najmniejsze możliwe uprawnienia i jedynie czasowy dostęp do danych, które są niezbędne do wykonania usługi. Można także rozważyć wdrożenie międzynarodowych norm standaryzujących systemy zarządzania bezpieczeństwem informacji, takich jak np. ISO 27001 i ISO 28000.
Warto też opracować planu reagowania na incydenty – na wypadek najgorszego scenariusza. Powinien być w nim opisany sposób współdziałąnia z zespołami pracującymi dla dostawców. Warto w tym celu przeprowadzać symulację incydentów cyberbezpieczeństwa opartych na przykładach, które zdarzyły się już innym firmom.