Se spomnite decembra 2020, ko je napad na SolarWinds ogrozil oskrbovalne verige več kot 18 tisoč organizacij? Napad, ki je za seboj pustil več milijard dolarjev škode, še vedno velja za enega najobsežnejših napadov v zadnjih letih, sprožil pa je tudi ponovni razmislek in opredelitev kibernetske varnosti dobavnih verig. Kako se je v zadnjih dveh letih razvijala varnost dobavne verige?
Nekaj je gotovo: danes se bistveno bolj zavedamo tveganj, ki jih za naše informacijske sisteme predstavljajo rešitve v oblaku in dolge dobavne verige. Občutljive podatke, ki si jih delimo v tesnem sodelovanju s partnerji in prodajalci, je mogoče prestrezati na vsaki povezavi dobavne verige. Posledično kršitev v eni organizaciji vpliva na vse vključene deležnike. Če ste v dobavni verigi eno od večjih podjetij in strateško vlagate v kibernetsko varnost, morda ne boste neposredna tarča kibernetskega napada. Napadalci se običajno osredotočajo na organizacije, v katerih zaznajo šibkejšo zaščito, zlasti na ravni uporabnikov. Ko pridobijo dostop do notranjega omrežja enega od členov dobavne verige, se lahko napadalci pomaknejo naprej po verigi in dosežejo želeni cilj. Morda bodo potrebovali več mesecev, vendar jim bo na koncu uspelo.
Čeprav je razpršenost dobaviteljev pogosto koristna z vidika razpoložljivosti in neprekinjenega poslovanja, lahko prispeva tudi k večjemu tveganju. Več kot je ravni v dobavni verigi, večja je možnost uspešnega napada. V zadnjem času se zlasti v proizvodnih podjetjih vse večji pomen pripisuje lokalnim dobaviteljem, celo proizvodni obrati se selijo v lokalno okolje. Tako so dobavne verige krajše in s stališča globalizacije tudi bolj omejene.
Ne glede na to, kako dolga je vaša dobavna veriga, poskrbite, da boste storili vse, kar je v vaši moči, da zmanjšate tveganje za kibernetski napad in vdor v dobavno verigo.
Kateri so najpogostejši izzivi za varnost dobavne verige?
Pri obravnavi tveganj v dobavni verigi morate upoštevati dva vidika: kako zaščititi svoj IT sistem in kakšen odnos imajo vaši dobavitelji do kibernetske varnosti? Poglejmo, kaj lahko storite, da bo vaša dobavna veriga čim bolj varna.
Ker sta izsiljevalska programska oprema in socialni inženiring še vedno najučinkovitejši pasti, v katere se ujamejo uporabniki, toplo priporočamo vlaganje v trening ozaveščanje o kibernetski varnosti za vse uporabnike. Ko bodo vsi vaši uporabniki znali prepoznati in prijaviti poskuse socialnega inženiringa, se bo verjetnost uspešnega socialnega inženiringa bistveno zmanjšala. Posledično pa tudi možnost, da se hekerji premikajo po vaši dobavni verigi. Poleg tega spodbudite svoje partnerje in dobavitelje, da usposobijo svoje uporabnike in prispevajo k višji ravni kibernetske varnosti dobavne verige. Sklepanje partnerstev s ponudniki, ki kibernetske varnosti ne jemljejo tako resno kot vi, predstavlja dodatno tveganje za vašo IT infrastrukturo.
V kakšno past se uporabniki najhitreje ujamejo?
Obstaja velika verjetnost, da bodo vaši uporabniki padli na zelo preproste finte, kot so nagradne igre, stave in loterija. Kdor igra na karto “biti srečen in zmagati”, ima še vedno zelo veliko možnosti za uspeh. Druge pogoste pasti so poslovne in zaposlitvene priložnosti ter brezplačne internetne storitve. Zelo uspešne so lahko tudi prevare z izdajanjem za “novince” pri dobaviteljih in pošiljanjem e-pošte v njihovem imenu. Ne pozabite, da so učinkovito sredstvo za goljufanje tudi elektronske vsebine, povezane z upravljanjem človeških virov, kot so povišanje plače, nove pogodbe ipd.
Kakšne so posledice uspešnega napada na dobavno verigo?
Med najpogostejšimi posledicami kibernetskega napada v dobavni verigi so kraja intelektualne lastnine, razkritje osebnih podatkov in motnje v poslovnih procesih. Vse to lahko povzroči veliko poslovno izgubo, finančno škodo ter neskladnost s standardi in predpisi. Da ne omenjamo izgube ugleda ob razkritju novice o napadu. To nas pripelje do dodatnega vidika napadov na oskrbovalno verigo: v primeru napada na eno samo podjetje ta dogodek običajno ostane bolj ali manj skrit očem javnosti. Medtem ko je v primeru oskrbovalnih verig več vključenih zainteresiranih strani in večja je možnost, da bo novica prišla v javnost. To je še en razlog, zakaj mora biti trdna varnost dobavne verige ena glavnih prioritet vsake organizacije.
Pet najboljših praks za varnost dobavne verige
1. Napredno varnostno ozaveščanje za vse uporabnike
Kot smo že omenili, lahko trening varnostnega ozaveščanja zaposlenih bistveno zmanjša verjetnost uspešnega napada s socialnim inženiringom. Pri načrtovanju takšnega programa ozaveščanja ne pozabite izbrati rešitve, ki ponuja raznoliko vsebino simuliranih napadov, izobraževalno gradivo in zmogljiv sistem poročanja. Opremljeni z merljivimi podatki iz zaključenih kampanj boste lahko spremljali napredek svojih uporabnikov. Izvajalci simulacij socialnega inženiringa se pogosto sprašujejo, kako pogosto izvajati kampanje. Na to vprašanje nimamo enoznačnega odgovora. Nekatera podjetja izvajajo kampanje enkrat mesečno, druga enkrat tedensko, nekatera pogosteje, druga redkeje. Glavno je, da ugotovite pogostost, ki najbolj ustreza vašim uporabnikom in se držite načrta.
2. Šifriranje podatkov v celotni dobavni verigi
Če želite ostati kibernetsko varni, nešifrirani podatki ne smejo potovati po vaši dobavni verigi. Šifriranje od začetne do končne točke (ang. end-to-end) pomeni, da podatki, poslani od enega odjemalca do drugega, ob prestrezanju nimajo pomena, razen če napadalec pozna šifrirni ključ. Zelo priporočljivo je, da uporabljate šifrirni standard AES – Advanced Encryption Standard, ki ga uporabljajo tudi vladne organizacije in vojska ter zagotavlja boljšo zaščito pred dešifriranjem.
3. Spremljanje površine napada
Tu imamo v mislih celotno površino napada v dobavni verigi, ne le vaše organizacije, temveč vseh deležnikov. Redno spremljanje vam omogočajo rešitve za ocenjevanje in rangiranje tveganj z avtomatiziranimi orodji, ki redno testirajo in spremljajo spremembe in odstopanja v dobavni verigi. Takšne rešitve so skladne z vsemi predpisi in vam lahko pomagajo pri spremljanju dobavne verige in vaše varnosti. Vendar ta storitev pregleda le površino (tisto, kar je vidno in dosegljivo od zunaj) in se ne poglobi v vaše notranje omrežje ali omrežja vaših dobaviteljev.
4. Redno varnostno testiranje in ocenjevanje tveganja
Redno testiranje kibernetske varnosti ali ocenjevanje tveganj s strani zunanjih izvajalcev je najboljši način za preverjanje kibernetske varnosti vašega sistema v realnem času. Prvi korak k trdnejši kibernetski varnosti je izvajanje rešitev in dobrih praks, drugi pa preizkušanje njihovega delovanja v resničnem življenju. Predstavljajte si, da za posebno priložnost potrebujete obleko in nove čevlje. Želeno naročite prek spleta in pospravite v omaro, ne da bi nakupljeno pomerili. Kako boste vedeli, da vam obleka pristoji in so vam čevlji prav, ko jih boste morali uporabiti? Rešitve, ki tečejo na sistemu, a njihove učinkovitosti ne preizkusite, so le polovična rešitev problema.
Kako pogosto pa naj bi testirali in ocenjevali tveganja? To je odvisno od pogostosti sprememb v vašem sistemu IT. Nekoč uveljavljena splošna praksa izvajanja varnostnih testov enkrat na leto ne zadostuje več. Vsaka nova ranljivost brez popravkov, označena kot »zero-day«, in vsaka varnostna posodobitev v vaš sistem vneseta nova varnostna tveganja, prav tako spremembe v arhitekturi sistema, spremembe lokacije itd. Najučinkovitejši odgovori na ta vprašanja so samodejne rešitve za preverjanje in potrjevanje varnosti, ki vaš sistem redno preverjajo glede na vse znane ranljivosti in ustrezno potrjujejo vašo kibernetsko varnostno držo.
5. Strateško načrtovanje odzivanja na incidente
Vprašanje v kibernetski varnosti ni, ali bomo deležni vdora, temveč kdaj. Zato bodite pripravljeni in strateško načrtujte odziv. Spontani odziv lahko sicer ublaži najbolj očitna tveganja, vendar so za dolgoročno zmanjšanje možnosti vdora potrebne bolj poglobljene taktike in postopki. Prepričajte se, da vaša politika varnostnega kopiranja ustrezno pokriva morebitni napad z izsiljevalsko programsko opremo. Določite, kdo v organizaciji je odgovoren za odzivanje na incidente, in v načrt vključite forenzično analizo. Forenzika vam lahko pomaga prepoznati šibke točke v vašem sistemu IT in te slabosti odpraviti v prihodnosti.
To je bilo nekaj vpogledov v problematiko kibernetske varnosti dobavne verige in nasvetov za njeno uspešno upravljanje. Sledite načelu ničelnega zaupanja (eng. zero trust): spremljajte, pregledujte, testirajte in omejite pravice dostopa na najnižje privilegije. Izkoristite najsodobnejša orodja, ki vam lahko pomagajo v boju proti kibernetskim napadalcem in zagotavljajo varnost vaših sredstev.
SecurityScorecard – ocenjevanje tveganj in varnost dobavne verige
SecurityScorecard je avtomatizirana rešitev za ocenjevanje in upravljanje varnostnih tveganj s stalnim pregledovanjem površine napada.
Penetracijski test
Penetracijski test omogoča odkrivanje ranljivosti IT sistema in je podlaga za določanje njihove kritičnosti in podajanje priporočil.
Pentera – avtomatizirano penetracijsko testiranje
Avtomatizirano penetracijsko testiranje z orodjem Pentera je rešitev, s katero lahko dnevno obvladujemo varnostna tveganja.