Chcesz uchronić firmę przed cyberatakiem? Ogranicz zaufanie do partnerów

Chcesz uchronić firmę przed cyberatakiem? Ogranicz zaufanie do partnerów

Ślepe ufanie swoim partnerom biznesowym i dostawcom często okazuje się niebezpieczną pułapką. Z pewnością tak jest, jeśli chodzi o cyberbezpieczeństwo. Łańcuch dostaw działa jak naczynia połączone – atak na jedno ogniwo, skutkuje zagrożeniem pozostałych. Aby zadbać o siebie, firmy muszą skutecznie zarządzać ryzykiem swoich dostawców. Wiele z nich już dziś powinno zacząć dbać o bezpieczeństwo w swoich łańcuchach dostaw, aby jesienią spełnić wymogi dyrektywy NIS2.

Świat biznesu opiera się na łańcuchach dostaw, które ułatwiają globalny przepływ usług i towarów. Sieci nakładających się na siebie i powiązanych ze sobą firm są coraz bardziej złożone i nieprzejrzyste. Większość z nich obejmuje dostawę oprogramowania i usług cyfrowych lub przynajmniej jest w jakiś sposób zależna od interakcji online. To naraża je na ryzyko cyberataków. W 2022 roku w Stanach Zjednoczonych odnotowano o 40% więcej ataków na łańcuchy dostaw niż ataków opartych na złośliwym oprogramowaniu. Doprowadziły one do naruszeń, które dotknęły ponad 10 milionów osób[1].

- Zarządzanie ryzykiem w łańcuchu dostaw może stanowić wyzwanie, zwłaszcza dla małych i średnich firm, które często nie mają wystarczających zasobów IT. Niemniej jednak poleganie wyłącznie na zaufaniu wobec partnerów i dostawców w kwestii cyberbezpieczeństwa stwarza zbyt duże ryzyko, biorąc pod uwagę obecny, naprawdę wysoki poziom zagrożeń – mówi Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.

Czym jest ryzyko związane z łańcuchem dostaw?

Cyberzagrożenia w łańcuchu dostaw mogą przybierać różne formy, od oprogramowania ransomware i kradzieży danych po odmowę dostępu (DDoS) i oszustwa. Celem zwykle bywają firmy świadczące profesjonalne usługi (np. prawne czy księgowe) lub dostawcy oprogramowania biznesowego. Atakowani mogą również być dostawcy usług zarządzanych (MSP). Celem przestępców jest, by dzięki atakowi na jedną firmę uzyskać dostęp do dużej liczby jej klientów. Badania z ubiegłego roku wykazały, że 90% dostawców usług zarządzanych padło ofiarą cyberataku w ciągu ostatnich 18 miesięcy[2].

Oto najbardziej popularne rodzaje ataków na podwykonawców i dostawców:

Przejęte oprogramowanie: Cyberprzestępcom czasami udaje się znaleźć sposób na dodanie złośliwego kodu do oprogramowania, który jest dostarczany klientom. Tak właśnie stało się w przypadku kampanii ransomware Kaseya czy niedawnych ataków poprzez zmodyfikowane oprogramowanie MOVEit, wykorzystywane przed duże firmy i instytucje finansowe. W ten sposób skradziono dane setkom użytkowników korporacyjnych, co w konsekwencji miało wpływ na miliony ich klientów.

Ataki na programy open source: Większość deweloperów korzysta z komponentów open source, aby przyspieszyć czas wprowadzania na rynek swoich produktów. Oczywiście wiedzą o tym cyberprzestępcy, którzy zaczęli umieszczać złośliwe oprogramowanie w takich komponentach i udostępniać je w popularnych repozytoriach kodu. Liczba takich ataków wzrosła o 633% rok do roku[3].

Podszywanie się pod dostawców: Wyrafinowane ataki znane jako business email compromise (BEC) czasami prowadzone są przez oszustów podszywających się pod dostawców i nakłaniających klienta do przelania im pieniędzy. Atakujący zwykle przejmuje konto e-mail należące do osoby pracującej dla podwykonawcy i wysyła fałszywe faktury ze zmienionymi danymi bankowymi.

Kradzież danych uwierzytelniających: Atakujący kradną dane logowania dostawców i próbują włamać się do systemów jego klientów.

Kradzież danych: Wielu dostawców przechowuje wrażliwe informacje na temat swoich klientów. Dotyczy to zwłaszcza firm takich jak np. kancelarie prawne lub instytucje medyczne. Stanowią one atrakcyjny cel cyberprzestępców, którzy mogą wykorzystać skradzioną wiedzę do szantaży.

Jak ograniczać ryzyko?

 - Niezależnie od tego, jaki rodzaj ataku dotknie naszą firmę, efekt końcowy może być taki sam: szkody finansowe i wizerunkowe oraz ryzyko pozwów sądowych, przestojów operacyjnych i utraty klientów. Możliwe jest jednak zarządzanie tym ryzykiem – mówi Beniamin Szczepankiewicz.

Oto 8 zasad, które mogą uchronić nas przed ryzykami związanymi z łańcuchem dostaw:

1. Przeprowadzenie przeglądu ryzyka u wszystkich dostawców: Na początek najistotniejsze jest dokładne zrozumienie, kim są Twoi dostawcy, a następnie sprawdzenie, czy stosują oni podstawowe środki bezpieczeństwa, które powinny obejmować również ich własne łańcuchy dostaw. Często przeprowadzaj audyty i sprawdzaj akredytację zgodnie z normami i przepisami branżowymi.
2. Staranna analiza każdego nowego dostawcy: Pamiętaj o dokładnym sprawdzeniu dbałości o bezpieczeństwo każdego nowego dostawcy, z którym rozpoczynasz współpracę.
3. Lista wszystkich zatwierdzonych dostawców: Regularne audyty i aktualizacje listy dostawców umożliwią organizacjom przeprowadzanie dokładnych ocen ryzyka, identyfikację potencjalnych słabych punktów i zapewnienie, że dostawcy przestrzegają standardów cyberbezpieczeństwa.
4. Stworzenie polityki dla dostawców: Służy ona jako podstawowy dokument określający oczekiwania, standardy i procedury, których dostawcy muszą przestrzegać, aby zapewnić bezpieczeństwo całego łańcucha.
5. Zarządzanie ryzykiem związanym z oprogramowaniem open source: Jednym ze sposobów jest korzystanie z narzędzi do analizy składu oprogramowania (SCA) w celu uzyskania wglądu w komponenty oprogramowania, wraz z ciągłym skanowaniem w poszukiwaniu luk i złośliwego oprogramowania oraz szybkim łataniem wszelkich błędów. Warto upewnić się również, że zespoły programistów rozumieją znaczenie bezpieczeństwa podczas opracowywania produktów.
6. Zarządzanie ryzykiem związanym z dostępem dostawców. Warto trzymać się zasady, która zaleca przyznawanie najmniejszych możliwych uprawnień dla wszystkich dostawców. Dobrze jest również wdrożyć podejście Zero Trust, w którym wszyscy użytkownicy i urządzenia są niezaufane do czasu weryfikacji. Kontrahentom przyznawać zaś czasowy dostęp do danych, który jest niezbędny do wykonania usługi.
7. Opracowanie planu reagowania na incydenty. Na wypadek najgorszego scenariusza, upewnij się, że masz dobrze przećwiczony plan. Dzięki temu może się udać powstrzymać zagrożenie, zanim będzie miało szansę wpłynąć na organizację. Plan powinien zawierać sposób współpracy z zespołami pracującymi dla dostawców. Przeprowadzaj symulację incydentów cyberbezpieczeństwa opartych na przykładach, które zdarzyły się już innym firmom.
8. Rozważ wdrożenie standardów branżowych. Normy ISO 27001 i ISO 28000 zawierają wiele przydatnych sposobów, które pozwalają zminimalizować ryzyka związane z dostawcami.

[1] https://www.idtheftcenter.org/publication/2022-data-breach-report/?utm_source=press+release

[2] https://www.msspalert.com/news/90-of-msps-suffer-successful-cyberattacks-n-able-research-finds

[3] https://www.sonatype.com/state-of-the-software-supply-chain/Introduction