Útoky na dodávateľský reťazec – zásah, po ktorom kľakne mnoho firiem
Čo sú to útoky na dodávateľský reťazec?
Útoky na dodávateľský reťazec sú kybernetické útoky, ktoré sú zamerané na kompromitovanie jednej alebo viacerých spoločností v rámci dodávateľského reťazca s cieľom získať prístup k informáciám alebo systémom, ktoré sú kľúčové pre celú sieť dodávateľov a ich zákazníkov. Pre tieto útoky je charakteristické, že prichádzajú cez legitímne kanály, takže je veľmi ťažké odhaliť, že aktivitu v systéme nevykonáva napríklad partner alebo subdodávateľ, ale neautorizovaná tretia strana.
Množstvo subdodávateľov má často vo vzťahu k firmám postavenie legitímneho partnera s určitými prístupmi do firemných systémov. Ak sa podarí útočníkom nabúrať k subdodávateľovi, môžu tak sčasti preniknúť aj do ďalších firiem. Šikovní útočníci sa môžu pokúsiť hľadať zraniteľnosti, prípadne nesprávne nastavenie aj v systémoch týchto firiem a skúsiť zvýšiť svoje práva na administrátorskú úroveň, čím môžu získať prístup k celej sieti.
V niektorých prípadoch firmy v dodávateľskom reťazci môžu používať spoločné systémy alebo služby, napríklad cloudové úložiská alebo komunikačné nástroje. Útočníci sa môžu pokúsiť získať prístup k týmto spoločným systémom a službám, aby mohli napadnúť viacero firiem v rámci dodávateľského reťazca naraz.
Takisto môžu skúsiť získať prístup k dátam od tretích strán, ktoré majú nejaký vzťah k firmám v dodávateľskom reťazci. Môže ísť napríklad o banky, ktoré poskytujú financovanie pre firmy v reťazci, alebo o zákazníkov, ktorí nakupujú výrobky alebo služby od týchto firiem. Získané dáta môžu neskôr použiť na útoky na firmy v reťazci.
Spôsoby, ako sa útočníci môžu dostať do systémov v dodávateľskom reťazci:
1. Zneužitie oprávnení: Útočníci môžu získať oprávnenia od jednej z firiem v dodávateľskom reťazci a následne sa dostať do systémov ďalších firiem.
2. Phishing: Útočníci môžu použiť manipuláciu na získanie prístupových údajov od zamestnancov jednej z firiem a potom sa pomocou týchto údajov dostať do systémov iných spoločností.
3. Zneužitie zraniteľností: Útočníci môžu využiť chyby, ktoré sa nachádzajú v softvéri, ktorý sa používa v jednej alebo viacerých firmách v dodávateľskom reťazci, na získanie prístupu do systémov.
4. Falošné e-maily: Útočníci môžu po kompromitácii jedného z partnerov vytvoriť falošné e-maily, ktoré prichádzajú od jednej z firiem v dodávateľskom reťazci. V skutočnosti však obsahujú škodlivý kód alebo odkazy na škodlivé stránky.
5. Nezabezpečené zdieľanie súborov: Ak firmy v dodávateľskom reťazci zdieľajú citlivé údaje pomocou nezabezpečených sietí alebo nástrojov, útočníci môžu získať prístup k týmto údajom.
Útoky na dodávateľský reťazec môžu napáchať obrovské škody
Útoky na dodávateľský reťazec môžu napáchať vážne škody pre firmy a celé odvetvia, ktoré sú v reťazci zapojené. Medzi najvážnejšie riziká patrí strata alebo únik citlivých dát, ako sú firemné tajomstvá, údaje o zákazníkoch či finančné informácie. Strata alebo únik týchto údajov môže vyústiť do finančných škôd, pošramotenej reputácie, ale aj porušenia legislatívy.
Okrem toho môžu útoky na dodávateľský reťazec viesť k prerušeniu obchodných operácií a výrobných procesov v rámci celého reťazca, čo môže mať vplyv na výrobu, distribúciu a predaj tovaru alebo služieb. Ak sa teda niektorá firma v reťazci stane obeťou útoku a jej systémy sa stávajú neprístupnými alebo nefunkčnými, môže to mať negatívny vplyv na celý reťazec a viesť k finančným stratám pre všetky zainteresované spoločnosti.
Obzvlášť bolestivé sú útoky na MSP (Managed Service Provider) poskytovateľov, ktorí ponúkajú firmám IT a bezpečnostné služby. Disponujú širokými prístupmi, a to často pre desiatky, stovky až tisícky zákazníkov. Ak útočník získa prístup do systému MSP poskytovateľov, môže naraz napadnúť obrovské množstvo obetí a cez legitímne nástroje zašifrovať ich systémy. Príkladom je známy útok na spoločnosť Kaseya z dielne ransomvérového gangu REvil, ktorý naraz zašifroval údaje viac ako tisícke firiem.
Prípad NotPetya
V prípade jedného z doposiaľ najvážnejších kybernetických útokov NotPetya z roku 2017 sa falošný ransomvér šíril aj do sietí firiem, ktoré nemali žiadnu priamu väzbu s pacientom nula. Tým bola malá ukrajinská softvérová firma MEDoc, ktorá vyrába populárny účtovnícky softvér. Divoké rozšírenie ransomvéru umožnili rôzne prepojenia sietí medzi pacientom nula a ďalšími (často lokálnymi) firmami, ktoré mali následne ďalšie prepojenia aj na globálne korporácie.
Zneužitie wormable exploitu (EternalBlue), ktorý je uniknutým nástrojom NSA, viedlo k tomu, že boli zasiahnuté aj tieto veľké firmy, a to vrátane organizácií v Rusku. To bol pravdepodobne vedľajší efekt, keďže skupina Sandworm, ktorá stála za útokom, je napojená na ruskú vojenskú spravodajskú službu. Ide o doposiaľ najdrahší útok zaznamenaný v histórii so škodami prevyšujúcimi 10 miliárd dolárov.
Dodržiavanie bezpečnosti partnermi
V dôsledku toho, že v týchto prípadoch sú slabým článkom partneri alebo dodávatelia, môžu na útok na dodávateľský reťazec doplatiť aj firmy, ktoré vo všeobecnosti dodržiavajú bezpečnostné štandardy. Je preto potrebné, aby firmy mysleli aj na možnosť, že útok môže prísť prostredníctvom dodávateľského reťazca, a na takúto situáciu sa aj pripravili z právnej aj technickej stránky.
Firmy môžu vynucovať zabezpečenie svojich dodávateľov pomocou zmluvných podmienok, ktoré by mali obsahovať požiadavky na kybernetické zabezpečenie. Tieto požiadavky môžu zahŕňať povinnosti ako pravidelné testovanie bezpečnosti systémov, aktualizácie zabezpečenia, používanie silných hesiel, šifrovanie dát či iné opatrenia na ochranu pred kybernetickými útokmi.
Firmy môžu takisto vyžadovať od svojich dodávateľov audit ich kybernetického zabezpečenia. Tento proces by mal zahŕňať dôkladné posúdenie ich bezpečnostných systémov a procesov, aby sa zistili slabé miesta a navrhli sa opatrenia na zlepšenie zabezpečenia. Takisto trebe mať vypracovaný plán postupu pre krízové situácie, ktorý jasne definuje zodpovednosti.
Okrem toho by mali firmy zaviesť vlastné politiky a postupy na zabezpečenie dodávateľského reťazca. Tieto politiky by mali obsahovať pravidlá na zdieľanie citlivých informácií s dodávateľmi, používanie konkrétnych nástrojov na zabezpečenie a na spôsoby spracovania informácií o dodávateľoch.
Pokiaľ si chcete byť istí, môžete si takisto overiť, či bol váš partner auditovaný na niektorý zo štandardov ISO. Aby firma dostala takéto osvedčenie, musí splniť prísne podmienky pod dohľadom audítorov. Ak váš partner spĺňa relevantné ISO normy, značí to, že v danej oblasti sa naňho môžete spoľahnúť.
Z technického hľadiska by mali dáta, ktoré zdieľajú firmy s dodávateľmi, byť šifrované, a to pri ich presune a aj po uložení. Odporúčame aj nasadenie nástroja rozšírenej detekcie a reakcie XDR, ktorý podrobne monitoruje aktivitu na celej sieti a dokáže eliminovať prichádzajúce hrozby ešte pred tým, ako stihnú napáchať škody.
Pomôcť má nová legislatíva
Prispieť k vyriešeniu slabého zabezpečenia dodávateľského reťazca má ambíciu aj pripravovaná európska smernica NIS2. Nový právny rámec zavádza pravidlá, ktoré sa dotknú najmä subjektov pôsobiacich v kritickej infraštruktúre, ako sú energetika, doprava, bankovníctvo, výroba, potravinárstvo, chemický priemysel, odpadové hospodárstvo či poštové a kuriérske služby.
Firmy, ktorých sa týka legislatíva, budú musieť na dosiahnutie súladu so smernicou NIS2 prijať technické aj prevádzkové opatrenia, ktoré okrem iného musia zahŕňať aj zabezpečenie dodávateľského reťazca.
Smernicou sa zriaďuje aj Európska sieť styčných organizácií pre kybernetické krízy EU-CyCLONe. Tá bude slúžiť na riešenie veľkých bezpečnostných incidentov, medzi ktoré patrí aj množstvo útokov na dodávateľský reťazec, keďže obvykle zasahujú organizácie naprieč rôznymi sektormi. Zriadenie tejto inštitúcie umožní ľahšie zdieľanie informácií o incidentoch naprieč krajinami Európskej únie.
