Кібератаки можуть прийти через постачальників. Як захиститися?

Слабкою ланкою у кібербезпеці вашого підприємства можуть бути ваші партнери та постачальники. Ви можете скільки завгодно посилювати захист ваших ІТ-систем, але через атаку на зовнішню компанію хакери можуть отримати доступ до ваших даних.

Саме Supply chain attack стає однією з найнебезпечніших кіберзагроз, з якою доводиться мати справу Україні від початку повномасштабної війни. Хоча цей вид атак застосовувався і раніше.

Що потрібно знати про Supply chain attack та як захиститися, розповідаємо разом з Київстар.Бізнес у цьому матеріалі.

Підписуйтесь на Telegram-канал delo.ua

Що таке Supply chain attack?

Supply chain attack, або атака на ланцюг постачання, — це кібератака, під час якої хакери проникають в ІТ-системи компанії через зовнішнього партнера або постачальника.

Головна загроза в тому, що компанії налагоджують потужний кіберзахист своїх інформаційних систем, але водночас їм важко контролювати всіх своїх партнерів та підрядників, яким дають доступ до своїх даних. Ці підприємства можуть мати нижчий рівень кіберграмотності серед співробітників, слабші рішення з кібербезпеки тощо. Саме цими вразливостями хакери й користуються, атакуючи компанії-підрядники та отримуючи доступ до потрібних їм інформаційних систем.

Чому компанії, які є ціллю для хакерів, атакують через підрядників:

●        Сама цільова компанія надійно захищена від зовнішніх атак і втручання напряму реалізувати неможливо.

●        Підрядна організація має нижчий рівень розвитку кібербезпеки, ніж цільова компанія.

●        Цільова компанія має підрядників із легітимними доступами до своїх систем.

Які є приклади кібератак на ланцюг постачання?

Supply chain attack стали активно застосовуватися по всьому світу останні кілька років. У 2019-му Symantec наголосила, що кількість цих атак зросла на 78% у порівнянні з 2018-м. А вже у 2021-му саме безпеку ланцюгів постачання уряди та політики висунули на перший план у США.

Одним із показових прикладів стала масштабна Supply chain-атака на розробника програмного забезпечення SolarWinds у 2020 році. Вона вразила сотні найбільших компаній США, а також підприємства у Північній Америці, Європі та Азії. Отже, що сталося?

Група хакерів (вважають, що це була російська Cozy Bear) скомпрометувала оновлення програмного забезпечення Orion від SolarWinds. Цей доступ зловмисники використали, щоб створити та поширити троянські оновлення серед користувачів ПЗ.

Виявилося, що так хакери отримали доступ до інформаційних систем, що належать багатьом компаніям зі списку Fortune 500 та американським урядовим департаментам, зокрема Міністерству фінансів і торгівлі США. Під удар потрапили десятки провідних телекомунікаційних компаній, п’ять провідних бухгалтерських фірм, усі гілки збройних сил США, Пентагон, а також сотні університетів і коледжів по всьому світу.

Ось ще кілька прикладів атак на ланцюг постачання:

●        ASUS, 2018 рік. Хакери скористалися функцією оновлення та поширили вірус на 500 тисяч систем.

●        British Airways, 2018 рік. Розділ платежів на сайті British Airways містив код, який збирав платіжні дані клієнтів та спрямовував їх на шахрайський сайт. Так зловмисники отримали інформацію про приблизно 500 тисяч клієнтів компанії.

●        Mimecast, 2021 рік. Під час атаки хакерам вдалося скомпрометувати сертифікат безпеки, який підтверджує автентифікацію служб Mimecast у сервісах Microsoft 365 Exchange. Це вплинуло на 10% клієнтів Mimecast.

●        Colonial Pipeline  — найбільша американська трубопровідна система. Доставляє бензин, дизпаливо та авіагас із Техасу до Нью-Йорка. Забезпечує майже 45% палива для східного узбережжя США. В результаті зафіксованої 7 травня 2021 року атаки трубопровідна система Colonial Pipeline зупинилася, у США оголосили регіональний надзвичайний стан. За інформацією у ЗМІ, за день до атаки з серверів компанії кіберзлочинці викрали 100 Гб даних.

Приклад Supply chain-атаки добре відомий українцям з 2017 року: вірус NotPetya, який шифрував файли на жорсткому диску комп'ютера-жертви, перезаписув і шифрував MBR-дані, щоб унеможливити завантаження операційних систем комп’ютерів. Зловмисники вимагали викуп у біткоїнах, проте навіть його сплата не допомагала відновленню систем. Тому була версія, що викуп не справжня мета атаки.

В результаті запуску NotPetya  відбулося масове блокування роботи багатьох українських державних підприємств, установ, банків, медіа тощо, зокрема аеропорту «Бориспіль», ЧАЕС, Укртелекому, Укрпошти, Ощадбанку, Укрзалізниці та інших підприємств критичної інфраструктури. Також були вражені урядові цифрові інфраструктури, зокрема Кіберполіція та Служба спецзв'язку. Усі ці ресурси були атаковані за рахунок компрометації популярних сервісів компанії M.E.Doc, яке відбулось значно раніше того ж року.

Як діє Supply chain-атака в Україні під час війни?

Через повномасштабне вторгнення рф в Україну майже кожен бізнес став жертвою кіберзлочинців. Водночас зараз саме Supply chain-кібератака є однією з найбільших загроз для компаній-критичних об’єктів, які співпрацюють із підрядниками і можуть бути ціллю хакерів. Зокрема, для урядових структур, банківської сфери, виробництва, підприємств критичної інфраструктури тощо.

Директор з кібербезпеки "Київстар" Юрій Прокопенко розповідає: «Компанії-замовники під час війни часто мають більше ресурсів, щоб залишатися стабільними. Водночас компанія-підрядник маленька. Будь-яка зміна більше впливає на процеси в ній, зокрема міграція співробітників, військові дії, мобілізація тощо. На практиці співробітник підрядної організації, який має доступ до мережі замовника, може під час сирени піти у бомбосховище. Через свій емоційний стан він може в цей час не перервати робочу сесію, чим одразу скористаються зловмисники. Хакери вичікують такі моменти, щоб отримати легальний доступ до мережі цільового підприємства».

Різниця між кібератаками у мирний час та під час війни у тому, що змінюється мета злому. Зазвичай хакери блокують доступ до даних і вимагають за них викуп. Натомість мета атаки у воєнний час — отримати доступ до критично важливих даних, знищити критичну інфраструктуру і таким чином завдати непоправної шкоди противнику. Саме тому компаніям варто напрацювати жорсткі політики роботи з третіми сторонами.

Як захистити постачальників та партнерів від кібератак?

Підприємствам-замовникам, особливо критично важливих об’єктів, варто розуміти, що периметр кібербезпеки компанії не завершується лише на власній інфраструктурі. Він завжди розширюється на партнерів та підрядників, які мають легітимний доступ до ІТ-систем замовника.

Ось кілька кроків, як протидіяти Supply chain-атакам, які рекомендує директор з кібербезпеки "Київстар" Юрій Прокопенко, спираючись на власний досвід:

1. Посилення контролю підрядних організацій, зокрема контролю обладнання, з якого з вами працюють їхні співробітники.
2. Вимоги до підрядників щодо гарантування високого рівня кібербезпеки у власній інфраструктурі, а також проходження ними незалежного аудиту.
3. Розгляд можливості надавати підрядним організаціям сервіс для гарантованого кіберзахисту ІТ-систем. 

Водночас самим підрядним організаціям варто приділити більшу увагу внутрішньому контролю — захисту робочих точок і серверного обладнання, навчанню співробітників кібергігієні та кібербезпеці.

Усе це, зокрема, посилить загальну інформаційну безпеку компанії та знизить ризики кібератак на ланцюг постачання до мінімального рівня. Щоб дізнатися більше, залиште заявку на сайті "Київстар".