Tento článok je súčasťou seriálu 10 najväčších hrozieb.
Útoky na dodávateľský reťazec sú mimoriadne obávané, pretože môžu mať veľký dosah na množstvo firiem a organizácií. Ak sa jedna firma v reťazci stane obeťou útoku a jej systémy a dáta sú kompromitované, môže to viesť k vážnym následkom pre všetky ostatné firmy v reťazci. Útokom na dodávateľský reťazec preto patrí 5. miesto v rebríčku 10 najväčších hrozieb.
V článku sa dočítate:
- Prečo môžu na tento typ útoku doplatiť aj firmy s vysokým zabezpečením,
- čo hrozí firmám v prípade zasiahnutia útokom na dodávateľský reťazec,
- ako sa môžu cez dodávateľa dostať útočníci k vašim citlivým údajom,
- a ako sa brániť proti takémuto typu útoku?
Čo sú to útoky na dodávateľský reťazec?
Útoky na dodávateľský reťazec sú kybernetické útoky, ktoré sú zamerané na kompromitovanie jednej alebo viacerých spoločností v rámci dodávateľského reťazca s cieľom získať prístup k informáciám alebo systémom, ktoré sú kľúčové pre celú sieť dodávateľov a ich zákazníkov. Pre tieto útoky je charakteristické, že prichádzajú cez legitímne kanály, takže je veľmi ťažké odhaliť, že aktivitu v systéme nevykonáva napríklad partner alebo subdodávateľ, ale neautorizovaná tretia strana.
Množstvo subdodávateľov má často vo vzťahu k firmám postavenie legitímneho partnera s určitými prístupmi do firemných systémov. Ak sa podarí útočníkom nabúrať k subdodávateľovi, môže tak z časti preniknúť aj do ďalších firiem. Šikovní útočníci sa môžu pokúsiť hľadať zraniteľnosti, prípadne nesprávne nastavenie aj v systémoch týchto firiem a pokúsiť sa zvýšiť svoje práva na administrátorskú úroveň, čím môžu získať prístup k celej sieti.
Ak sa útočníkom podarí získať administrátorské práva, môžu v sieti v podstate šíriť čokoľvek, vrátane malvéru. Konkrétny typ hrozby pritom závisí od pohnútok útočníkov. Do siete môžu napríklad zaniesť backdoor umožňujúci spustenie útoku v budúcnosti, nainštalovať spyvér a potajomky zbierať citlivé údaje či nasadiť do firmy ransomvér a po zašifrovaní dát ju vydierať.
Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET
V niektorých prípadoch firmy v dodávateľskom reťazci môžu používať spoločné systémy alebo služby, napríklad cloudové úložiská alebo komunikačné nástroje. Útočníci sa môžu pokúsiť získať prístup k týmto spoločným systémom a službám, aby mohli napadnúť viacero firiem v rámci dodávateľského reťazca naraz.
Útočníci sa tiež môžu pokúsiť získať prístup k dátam od tretích strán, ktoré majú nejaký vzťah k firmám v dodávateľskom reťazci. Môže ísť napríklad o banky, ktoré poskytujú financovanie pre firmy v reťazci, alebo o zákazníkov, ktorí nakupujú výrobky alebo služby od týchto firiem. Získané dáta môžu neskôr použiť na útoky na firmy v reťazci.
Spôsoby, akými sa útočníci môžu dostať do systémov v dodávateľskom reťazci:
- Zneužitie oprávnení: Útočníci môžu získať oprávnenia od jednej z firiem v dodávateľskom reťazci a následne sa dostať do systémov ďalších firiem.
- Phishing: Útočníci môžu použiť manipuláciu na získanie prístupových údajov od zamestnancov jednej z firiem a potom sa pomocou týchto údajov dostať do systémov iných spoločností.
- Zneužitie zraniteľností: Útočníci môžu využiť chyby, ktoré sa nachádzajú v softvéri, ktorý sa používa v jednej alebo viacerých firmách v dodávateľskom reťazci, na získanie prístupu do systémov.
- Falošné e-maily z legitímnej adresy: Útočníci môžu po kompromitácii jedného z partnerov vytvoriť falošné e-maily, ktoré prichádzajú od jednej z firiem v dodávateľskom reťazci. V skutočnosti však obsahujú škodlivý kód alebo odkazy na škodlivé stránky.
- Nezabezpečené zdieľanie súborov: Ak firmy v dodávateľskom reťazci zdieľajú citlivé údaje pomocou nezabezpečených sietí alebo nástrojov, útočníci môžu získať prístup k týmto údajom.
Útoky na dodávateľský reťazec môžu napáchať obrovské škody
Útoky na dodávateľský reťazec môžu napáchať vážne škody pre firmy a celé odvetvia, ktoré sú v reťazci zapojené. Medzi najvážnejšie riziká patrí strata alebo únik citlivých dát, ako sú firemné tajomstvá, údaje o zákazníkoch či finančné informácie. Strata alebo únik týchto údajov môže vyústiť do finančných škôd, pošramotenej reputácie, ale aj porušenia legislatívy.
Okrem toho môžu útoky na dodávateľský reťazec viesť k prerušeniu obchodných operácií a výrobných procesov v rámci celého reťazca, čo môže mať vplyv na výrobu, distribúciu a predaj tovaru alebo služieb. Ak sa teda niektorá firma v reťazci stane obeťou útoku a jej systémy sa stávajú neprístupnými alebo nefunkčnými, môže to mať negatívny vplyv na celý reťazec a viesť k finančným stratám pre všetky zainteresované spoločnosti.
Obzvlášť bolestivé sú útoky na MSP (Managed Service Provider) poskytovateľov, ktorí poskytujú firmám IT a bezpečnostné služby. Disponujú širokými prístupmi a to často pre desiatky, stovky až tisícky zákazníkov. Ak útočník získa prístup do systému MSP poskytovateľov, môže naraz napadnúť obrovské množstvo obetí a cez legitímne nástroje zašifrovať ich systémy. Príkladom je známy útok na spoločnosť Kaseya z dielne ransomvérového gangu REvil, ktorá naraz zašifroval údaje viac ako tisícke firiem.
Prípad NotPetya
V prípade jedného z doposiaľ najvážnejších kybernetických útokov NotPetya z roku 2017 sa falošný ransomvér šíril aj do sietí firiem, ktoré nemali žiadnu priamu väzbu s pacientom nula. Tým bola malá ukrajinská softvérová firma MEDoc, ktorá vyrába populárny účtovnícky softvér. Divoké rozšírenie ransomvéru umožnili rôzne prepojenia sietí medzi pacientom nula a ďalšími, často lokálnymi, firmami, ktoré mali následne ďalšie prepojenia aj na globálne korporácie.
Zneužitie wormable exploitu (EternalBlue), ktorý je uniknutým nástrojom NSA, viedlo k tomu, že boli zasiahnuté aj tieto veľké firmy a to vrátane organizácií v Rusku. To bol pravdepodobne vedľajší efekt, keďže skupina Sandworm, ktorá stála za útokom, je napojená na ruskú vojenskú spravodajskú službu. Ide o doposiaľ najdrahší útok zaznamenaný v histórii so škodami prevyšujúcimi 10 miliárd dolárov.
Dodržiavanie bezpečnosti partnermi
V dôsledku toho, že v týchto prípadoch sú slabým článkom partneri alebo dodávatelia, môžu na útok na dodávateľský reťazec doplatiť aj firmy, ktoré vo všeobecnosti dodržiavajú bezpečnostné štandardy. Je preto potrebné, aby firmy mysleli aj na možnosť, že útok môže prísť prostredníctvom dodávateľského reťazca, a na takúto situáciu sa aj pripravili po právnej aj technickej stránke.
Firmy môžu vynucovať zabezpečenie svojich dodávateľov pomocou zmluvných podmienok, ktoré by mali zahŕňať požiadavky na kybernetické zabezpečenie. Tieto požiadavky môžu zahŕňať povinnosti ako pravidelné testovanie bezpečnosti systémov, aktualizácie zabezpečenia, používanie silných hesiel, šifrovanie dát či iné opatrenia na ochranu pred kybernetickými útokmi.
„Nestačí, aby firme partner sľúbil, že zamestnanci majú silné heslá. Je potrebné vykonať aktívne opatrenia, ktoré to aj vynútia, napríklad čo sa týka dĺžky hesiel, ich pravidelnej zmeny či použitia dvojfaktorovej autentifikácie. Rovnako by mali byť súčasťou dohôd aj tréningy zamestnancov, ktorí sú často slabým článkom,“ odporúča Ondrej Kubovič.
Firmy môžu taktiež vyžadovať od svojich dodávateľov audit ich kybernetického zabezpečenia. Tento proces by mal zahŕňať dôkladné posúdenie ich bezpečnostných systémov a procesov, aby sa zistili slabé miesta a navrhli sa opatrenia na zlepšenie zabezpečenia. Taktiež je potrebné mať vypracovaný plán postupu pre krízové situácie, ktorý jasne definuje zodpovednosti.
Okrem toho by mali firmy zaviesť vlastné politiky a postupy na zabezpečenie dodávateľského reťazca. Tieto politiky by mali obsahovať pravidlá na zdieľanie citlivých informácií s dodávateľmi, používanie konkrétnych nástrojov na zabezpečenie a na spôsoby spracovania informácií o dodávateľoch.
Doposiaľ uverejnené články z rebríčka 10 najväčších hrozieb
5. Útoky na dodávateľský reťazec
6. IoT hrozby
7. Fyzické hrozby
8. Pokročilé hrozby
9. Nedostatok bezpečnostných špecialistov
10. Hrozby zvnútra firmy
Ak si chcete byť istí, môžete si tiež overiť, či bol váš partner auditovaný na niektorý zo štandardov ISO. Aby firma dostala takéto osvedčenie, musí splniť prísne podmienky pod dohľadom audítorov. Ak váš partner spĺňa relevantné ISO normy, značí to, že v danej oblasti sa naňho môžete spoľahnúť.
Z technického hľadiska by mali dáta, ktoré zdieľajú firmy s dodávateľmi, byť šifrované a to pri ich presune, a aj po uložení. Takisto odporúčame nasadenie nástroja rozšírenej detekcie a reakcie XDR ESET Inspect, ktorý podrobne monitoruje aktivitu na celej sieti a dokáže eliminovať prichádzajúce hrozby ešte pred tým, ako stihnú napáchať škody.
Nemáte špecialistov na obsluhovanie XDR?
Naši experti sa postarajú o všetko – inštaláciu, konfiguráciu, proaktívne vyhľadávanie hrozieb aj správu špičkového bezpečnostného riešenia XDR.
Pomôcť má nová legislatíva
Prispieť k vyriešeniu slabého zabezpečenia dodávateľského reťazca má ambíciu aj pripravovaná európska smernica NIS2. Nový právny rámec zavádza pravidlá, ktoré sa dotknú najmä subjektov pôsobiacich v kritickej infraštruktúre ako sú energetika, doprava, bankovníctvo, výroba, potravinárstvo, chemický priemysel, odpadové hospodárstvo či poštové a kuriérske služby.
Firmy, ktorých sa týka legislatíva, budú musieť na dosiahnutie súladu so smernicou NIS2 prijať technické aj prevádzkové opatrenia, ktoré okrem iného musia zahŕňať aj zabezpečenie dodávateľského reťazca.
Smernicou sa tiež zriaďuje Európska sieť styčných organizácií pre kybernetické krízy EU-CyCLONe. Tá bude slúžiť na riešenie veľkých bezpečnostných incidentov, medzi ktoré spadá aj množstvo útokov na dodávateľský reťazec, keďže obvykle zasahujú organizácie naprieč rôznymi sektormi. Zriadenie tejto inštitúcie umožní ľahšie zdieľanie informácií o incidentoch naprieč krajinami Európskej únie.
6. IoT hrozby – smart zariadenia útočiace bez vášho vedomia
Chytré zariadenia nepredstavujú pre firmy iba veľkých pomocníkov, ale aj významné hrozby. Problémom je ich obrovský počet, slabé zabezpečenie a často aj nezáujem o ich správu. Ak si ale nedáte pozor, útočníci môžu zneužiť vašu IoT infraštruktúru na masívne kybernetické útoky.