Кибератаки могут прийти через поставщиков. Как защититься?

Як забезпечити розвиток і стійкість компаній: досвід TERWIN, NOVUS, Arcelor Mittal, СК ІНГО та 40 інших провідних топменеджерів та державних діячів.

11 квітня на Business Wisdom Summit дізнайтесь, як бізнесу адаптуватися до нових регуляторних вимог, реагувати на зміни та залучати інвестиції у нинішніх умовах. Реальні кейси від лідерів українського бізнесу.

Забронировать участие

Слабым звеном в кибербезопасности вашего предприятия могут быть ваши партнеры и поставщики. Вы можете сколько угодно усиливать защиту ваших ИТ-систем, но из-за атаки на внешнюю компанию хакеры могут получить доступ к вашим данным.

Именно Supply chain attack становится одной из самых опасных киберугроз, с которой приходится сталкиваться Украине с начала полномасштабной войны. Хотя этот вид атак применялся и раньше.

Что нужно знать о Supply chain attack и как защититься, рассказываем вместе с Киевстар.Бизнес в этом материале.

Что такое Supply chain attack?

Supply chain attack, или атака на цепь снабжения, – это кибератака, во время которой хакеры проникают в ИТ-системы компании через внешнего партнера или поставщика.

Главная угроза в том, что компании налаживают мощную киберзащиту своих информационных систем, но в то же время им трудно контролировать всех своих партнеров и подрядчиков, которым дают доступ к своим данным. Эти предприятия могут иметь более низкий уровень киберграмотности среди сотрудников, более слабые решения по кибербезопасности и т.д. Именно этими уязвимостями хакеры и пользуются, атакуя компании-подрядчики и получая доступ к нужным им информационным системам.

Почему компании, являющиеся целью для хакеров, атакуют через подрядчиков:

●         Сама целевая компания надежно защищена от внешних атак и вмешательство напрямую реализовать невозможно.

●         Подрядная организация имеет более низкий уровень развития кибербезопасности, чем целевая компания.

●         Целевая компания имеет подрядчиков с легитимными доступами к своим системам.

Какие есть примеры кибератак на цепь снабжения?

Supply chain attack стали активно применяться по всему миру последние несколько лет. В 2019 году Symantec отметила, что количество этих атак выросло на 78% по сравнению с 2018-м. А уже в 2021-м именно безопасность цепей поставок правительства и политики выдвинули на первый план в США.

Одним из показательных примеров стала масштабная Supply chain-атака на разработчика программного обеспечения SolarWinds в 2020 году. Она поразила сотни самых крупных компаний США, а также предприятия в Северной Америке, Европе и Азии. Итак, что произошло?

Группа хакеров (считают, что это была российская Cozy Bear) скомпрометировала обновление программного обеспечения Orion от SolarWinds. Этот доступ злоумышленники использовали для создания и распространения троянских обновлений среди пользователей ПО.

Оказалось, что так хакеры получили доступ к информационным системам, принадлежащим многим компаниям из списка Fortune 500 и американским правительственным департаментам, в частности, Министерству финансов и торговли США. Под удар попали десятки ведущих телекоммуникационных компаний, пять ведущих бухгалтерских фирм, все ветви вооруженных сил США, Пентагон, а также сотни университетов и колледжей по всему миру.

Вот еще несколько примеров атак на цепь снабжения:

●         ASUS, 2018 год. Хакеры воспользовались функцией обновления и распространили вирус на 500 тысяч систем.

●         British Airways, 2018 год. Раздел платежей на сайте British Airways содержал код, который собирал платежные данные клиентов и переправлял их на мошеннический сайт. Так злоумышленники получили информацию о примерно 500 тысячах клиентов компании.

●         Mimecast, 2021 год. Во время атаки хакерам удалось скомпрометировать сертификат безопасности, подтверждающий аутентификацию служб Mimecast в сервисах Microsoft 365 Exchange. Это повлияло на 10% клиентов Mimecast.

●         Colonial Pipeline – крупнейшая американская трубопроводная система. Доставляет бензин, дизтопливо и авиакеросин из Техаса в Нью-Йорк. Обеспечивает около 45% топлива для восточного побережья США. В результате зафиксированной 7 мая 2021 атаки трубопроводная система Colonial Pipeline остановилась, в США объявили региональное чрезвычайное положение. По информации в СМИ, за день до атаки с серверов компании киберпреступники похитили 100 Гб данных.

Пример Supply chain-атаки хорошо известен украинцам с 2017 года: вирус NotPetya, который шифровал файлы на жестком диске компьютера-жертвы, перезаписывал и шифровал MBR-данные, чтобы сделать невозможной загрузку операционных систем компьютеров. Злоумышленники потребовали выкуп в биткоинах, однако даже его уплата не помогала восстановлению систем. Потому была версия, что выкуп не настоящая цель атаки.

В результате запуска NotPetya состоялась массовая блокировка работы многих украинских государственных предприятий, учреждений, банков, медиа и т.п., в частности, аэропорта "Борисполь", ЧАЭС, Укртелекома, Укрпочты, Ощадбанка, Укрзализныци и других предприятий критической инфраструктуры. Также были поражены правительственные цифровые инфраструктуры, в частности, Киберполиция и Служба спецсвязи. Все эти ресурсы были атакованы за счет компрометации популярных сервисов компании MEDoc, которое произошло гораздо раньше того же года.

Как действует Supply chain-атака в Украине во время войны?

Из-за полномасштабного вторжения России в Украину почти каждый бизнес стал жертвой киберпреступников . В то же время сейчас именно Supply chain-кибератака является одной из самых больших угроз для компаний-критических объектов, которые сотрудничают с подрядчиками и могут быть целью хакеров. В частности, для правительственных структур, банковской сферы, производства, предприятий критической инфраструктуры.

Директор по кибербезопасности "Киевстар" Юрий Прокопенко рассказывает: "У компаний-заказчиков во время войны часто есть больше ресурсов, чтобы оставаться стабильными. В то же время компания-подрядчик маленькая. Любое изменение больше влияет на процессы в нем, в частности миграция сотрудников, военные действия, мобилизация и т.д. На практике сотрудник подрядной организации, имеющий доступ к сети заказчика, может во время сирены пойти в бомбоубежище. Из-за своего эмоционального состояния он может в это время не прервать рабочую сессию, чем сразу воспользуются злоумышленники. Хакеры выжидают такие моменты, чтобы получить легальный доступ в сеть целевого предприятия".

Разница между кибератаками в мирное время и во время войны состоит в том, что меняется цель взлома. Обычно хакеры блокируют доступ к данным и требуют выкуп. Цель атаки в военное время — получить доступ к критически важным данным, уничтожить критическую инфраструктуру и таким образом нанести непоправимый вред противнику. Именно поэтому компаниям следует выработать жесткие политики работы с третьими сторонами.

Как защитить поставщиков и партнеров от кибератак?

Предприятиям-заказчикам, особенно критически важным объектам, следует понимать, что периметр кибербезопасности компании не завершается только на собственной инфраструктуре. Он всегда расширяется на партнеров и подрядчиков, имеющих легитимный доступ к ИТ-системам заказчика.

Вот несколько шагов, как противодействовать Supply chain-атакам, которые рекомендует директор по кибербезопасности "Киевстар" Юрий Прокопенко, опираясь на собственный опыт:

1. Ужесточение контроля подрядных организаций, в частности контроля оборудования, с которым с вами работают их сотрудники.
2. Требования к подрядчикам по обеспечению высокого уровня кибербезопасности в собственной инфраструктуре, а также прохождение ими независимого аудита.
3. Рассмотрение возможности предоставлять подрядным организациям сервис для гарантированной киберзащиты ИТ-систем.

В то же время, самим организациям-подрядчикам следует уделить больше внимания внутреннему контролю - защите рабочих точек и серверного оборудования, обучению сотрудников кибергигиены и кибербезопасности.

Все это, в частности, усилит общую информационную безопасность компании и снизит риски кибератак на цепь поставки до минимального уровня. Чтобы узнать больше, оставьте заявку на сайте " Киевстар".