Wzrasta liczba cyberataków na łańcuchy dostaw. Pojedyncza kampania może zainfekować ogromną liczbę urządzeń, zarówno należących do organizacji komercyjnych, jak i rządowych. Efektem takich działań są straty finansowe i wizerunkowe przedsiębiorstw. Zainfekowaniu mogą ulegać także końcowe produkty, które trafiają do konsumentów.
Specjaliści ds. cyberbezpieczeństwa ESET od lat badają przypadki ataków wymierzonych w branżę produkcyjną. Łańcuchy dostaw to rozległe procesy, rozpoczynające się od pozyskiwania surowców, a kończące w momencie, gdy do rąk użytkowników trafiają gotowe produkty. Pomiędzy tymi dwoma etapami rozgrywają się procesy projektowania, produkcji, dystrybucji itp. Mnogość elementów składających się na łańcuchy dostaw, to doskonałe środowisko dla cyberprzestępców. Istnieje ryzyko, że w tym skomplikowanym systemie, korzystającym z wielu cyfrowych rozwiązań, uda im się znaleźć luki i odpowiednio je wykorzystać, stosując zasadę najsłabszego ogniwa.
Efekt kuli śnieżnej
Globalny cyberatak może rozpocząć się od zainfekowania drobnego elementu, wchodzącego później w skład produktu np. zainfekowany złośliwym kodem firmware, umieszczony w urządzeniu takim jak router może stworzyć realne zagrożenie dla jego użytkownika. Innym przykładem cyberataku może być sytuacja związana z firmą FireEye, dostawcą zabezpieczeń, która padła ofiarą hakerów. Po dokładnym dochodzeniu ustalono, że atakującym udało się stworzyć i dostarczyć aktualizację, zawierającą złośliwe fragmenty kodu do programu o nazwie Orion, firmy SolarWinds, z którego korzystał FireEye. Backdoor wykryty przez badaczów ESET jako MSIL/SunBurst.A, „skaził” produkt końcowy, którego zadaniem jest zaawansowane zarządzanie siecią. Skażona aktualizacja trafiła do około 18 000 firm z całego świata i organizacji rządowych – ostatecznych ofiar ataku. Umożliwiło to hakerom prowadzanie dalszych działań w przypadku co najmniej 100 z nich.
Potencjał szkód wynikających z ataków na łańcuchy dostaw jest olbrzymi. Naruszając bezpieczeństwo tylko jednego dostawcy lub jednego elementu produktu, cyberprzestępcy mogą uzyskać nieograniczony i trudny do wykrycia dostęp do dużych obszarów i szerokiej bazy klientów. W samym czwartym kwartale 2020 roku badacze ESET odkryli tyle przypadków ataków na łańcuchy dostaw, ile w poprzednich latach obserwowano rocznie. Tendencja ta będzie wzrastać, bo branża usługowo-produkcyjna dynamicznie się rozwija. Nieautoryzowany dostęp do jednego z dostawców to cenny towar, który można odsprzedać podmiotowi zewnętrznemu, otrzymując sowitą zapłatę. To szczególnie motywuje środowisko cyberprzestępcze do dalszych działań – komentuje Beniamin Szczepankiewicz, starszy analityk zagrożeń w ESET.
Atak na łańcuchy dostaw może dotknąć każdego
Postępująca cyfryzacja i automatyzacja produkcji musi wiązać się z odpowiednimi procedurami bezpieczeństwa. Gdy w proces wytwórczy zaangażowane są np. roboty i specjalistyczne oprogramowanie, każda złośliwa ingerencja może doprowadzić do tragicznych skutków. W wyniku cyberataku infrastruktura krytyczna jak np. elektrownie, zakłady produkcyjne, stacje filtrowania i ujęcia wody mogą przestać poprawnie działać, a to może realnie wpłynąć na życie codzienne wielu ludzi.
Kontrola łańcucha dostaw
Kontrola bezpieczeństwa łańcucha dostaw to olbrzymie wyzwanie dla przedsiębiorstw, a perspektywa uzyskania 100% pewności jest niemal niemożliwa. Minimalizacja zagrożeń to zatem niekończąca się pętla zarządzania ryzykiem i zgodnością. W przypadku firmy SolarWinds, dopiero dogłębna inspekcja produktu po ataku pozwoliła zidentyfikować złośliwe fragmenty, umieszczone głęboko w kodzie. Jednak specjaliści ds. cyberbezpieczeństwa w dalszym ciągu przyglądają się nowym faktom w tej sprawie, wskazującym, że atak mógł mieć miejsce dużo wcześniej, niż pierwotnie zakładano.
Zasady bezpieczeństwa
W obliczu takich zagrożeń, przedsiębiorstwa produkcyjne muszą przede wszystkim mieć wgląd w informacje na temat wszystkich swoich dostawców i dostarczanych przez nich komponentów, w tym w obowiązujące zasady, procedury i systemy zabezpieczające. Powinny także rozwijać własne polityki bezpieczeństwa oparte o zasady takie jak m.in. regularne testy penetracyjne, uwierzytelnianie dwuskładnikowe czy oprogramowanie zabezpieczające gwarantujące wielowarstwową ochronę. Warto mieć świadomość, że aby uratować reputację firmy, nie wystarczą stosowne umowy prawne określające winę lub czyniące dostawcę odpowiedzialnym. W oczach konsumentów i opinii publicznej odpowiedzialność spoczywa na firmie, od której użytkownicy kupują produkt lub usługę.
