Napadi na lanac snabdevanja: Sajber kriminalci ciljaju na dobavljače softvera

• Autor:
• Ime autora

  Quantumrun Foresight
• Februar 9, 2023

Napadi na lanac snabdevanja rastuća su briga za kompanije i organizacije širom sveta. Ovi napadi se dešavaju kada se sajber kriminalac infiltrira u lanac snabdevanja kompanije i koristi ga za pristup sistemima ili podacima ciljne organizacije. Posljedice ovih napada mogu biti ozbiljne, uključujući finansijske gubitke, narušavanje reputacije kompanije, ugrožavanje osjetljivih informacija i prekid poslovanja. 

Kontekst napada lanca snabdevanja

Napad lanca snabdevanja je sajber napad koji cilja softver treće strane, posebno onaj koji upravlja sistemima ili podacima ciljne organizacije. Prema izvještaju „Pretnje za napade na lanac snabdijevanja“ za 2021. godinu, 66 posto napada na lanac snabdijevanja u posljednjih 12 mjeseci bilo je ciljano na sistemski kod dobavljača, 20 posto ciljano na podatke, a 12 posto na interne procese. Zlonamjerni softver je najčešće korištena metoda u ovim napadima, čineći 62 posto incidenata. Međutim, dvije trećine napada na kupce iskoristilo je povjerenje u svoje dobavljače.

Jedan primjer napada na lanac nabavke je napad na softversku kompaniju CCleaner iz 2017. Hakeri su uspjeli ugroziti lanac nabavke softvera kompanije i distribuirati zlonamjerni softver putem ažuriranja softvera, što je uticalo na milione korisnika. Ovaj napad je naglasio potencijalne ranjivosti oslanjanja na provajdere trećih strana i važnost snažnih sigurnosnih mjera za zaštitu od ovih napada.

Sve veće oslanjanje na provajdere trećih strana i složene mreže digitalnog lanca snabdevanja glavni su faktori koji doprinose rastu kriminala u digitalnom lancu snabdevanja. Kako kompanije predaju više svojih operacija i usluga, broj potencijalnih ulaznih tačaka za napadače se povećava. Ovaj trend je posebno zabrinjavajući kada su u pitanju mali ili manje sigurni dobavljači, jer oni možda nemaju isti nivo mjera sigurnosti kao veća organizacija. Drugi faktor je korištenje zastarjelog ili nezakrpljenog softvera i sistema. Sajber kriminalci često iskorištavaju poznate ranjivosti u softveru ili sistemima kako bi dobili pristup digitalnom lancu nabavke kompanije. 

Ometajući uticaj

Napadi na lanac snabdijevanja mogu imati ozbiljnu dugoročnu štetu. Primjer visokog profila je sajber napad u decembru 2020. na SolarWinds, koji vladinim agencijama i preduzećima obezbjeđuje softver za upravljanje IT-om. Hakeri su koristili ažuriranja softvera za distribuciju zlonamjernog softvera korisnicima kompanije, uključujući više vladinih agencija SAD-a. Ovaj napad je bio značajan zbog razmjera kompromisa i činjenice da je nekoliko mjeseci bio neotkriven.

Šteta je još veća kada ciljna kompanija pruža osnovne usluge. Drugi primjer je bio u maju 2021., kada je globalna prehrambena kompanija JBS pogođena napadom ransomware-a koji je poremetio njene operacije u više zemalja, uključujući SAD, Kanadu i Australiju. Napad je izvela kriminalna grupa poznata kao REvil, koja je iskoristila ranjivost u softveru treće strane kompanije. Incident je također pogodio kupce JBS-a, uključujući fabrike za pakovanje mesa i prodavnice prehrambenih proizvoda. Ove kompanije su se suočile sa nestašicom mesnih proizvoda i morale su da nađu alternativne izvore ili da prilagode svoje poslovanje.

Kako bi se zaštitili od napada na digitalni lanac nabavke, za preduzeća je od suštinskog značaja da imaju otporne i fleksibilne sigurnosne mjere. Ove mjere uključuju provođenje temeljne analize provajdera trećih strana, redovno ažuriranje i zakrpe softvera i sistema, te primjenu jakih sigurnosnih politika i procedura. Takođe je važno da kompanije edukuju svoje zaposlene o tome kako da identifikuju i spreče potencijalne napade, uključujući pokušaje krađe identiteta.

Implikacije napada na lanac snabdijevanja 

Šire implikacije napada na lanac nabavke mogu uključivati:

• Smanjena upotreba softvera treće strane i veće oslanjanje na interna rješenja za osjetljive podatke, posebno među vladinim agencijama.
• Povećani budžeti za interno razvijene mjere kibernetičke sigurnosti, posebno među organizacijama koje pružaju osnovne usluge kao što su komunalne usluge i telekomunikacije.
• Sve veći broj incidenata u kojima zaposleni postaju žrtve phishing napada ili nenamjernog uvođenja zlonamjernog softvera u sisteme svojih kompanija.
• Napadi nultog dana postaju uobičajeni jer sajber kriminalci iskorištavaju prednosti programera softvera koji implementiraju redovna ažuriranja zakrpa, koja mogu imati više grešaka koje ovi hakeri mogu iskoristiti.
• Sve veća upotreba etičkih hakera angažovanih da traže ranjivosti u procesima razvoja softvera.
• Više vlada donosi propise koji zahtijevaju od dobavljača da dostave potpunu listu svojih dobavljača trećih strana, kao i potencijalne revizije procesa razvoja softvera.

Pitanja za komentar

• Na koliko aplikacija trećih strana se oslanjate za svakodnevno poslovanje i koliko pristupa dozvoljavate?
• Koliko je sigurnost po vašem mišljenju dovoljna za dobavljače trećih strana?
• Da li vlada treba da uđe u provođenje regulatornih standarda za dobavljače trećih strana?