Pexels
StoryEditor

Kritické obavy bez rozdielu, pre veľké podniky aj malé firmy

15.12.2023, 00:00

Útoky na dodávateľský reťazec zaznamenávajú raketový vzostup. Sú relevantné nielen pre obrovské nadnárodné spoločnosti so zložitou štruktúrou dodávateľov, ale aj pre malé a stredné podniky.

Základňa pre útoky

V typickom scenári získa útočník kompromitáciou dodávateľa prístup do informačných systémov zadávateľskej spoločnosti. Táto kompromitácia potom môže slúžiť ako základňa na ďalšie typy útokov, typicky s rozsiahlejšími dôsledkami.

Kým pri veľkých spoločnostiach je motivácia útočníkov zrejmá – kompromitáciou menšieho dodávateľa môže útočník dosiahnuť obrovský dosah v rámci veľkej spoločnosti, pri malých a stredných podnikoch to nemusí byť také zrejmé.

Nelimitovaná kreativita

Skryté riziko pre malé a stredné podniky predstavuje najmä fakt, že v rámci tohto typu útoku sa práve ony stávajú primárnym cieľom pre útočníkov. Malé firmy často nemajú dostatočne robustnú kybernetickú obranu, čo z nich robí pre útočníkov atraktívne ciele.

Verejná prezentácia spolupráce s veľkými spoločnosťami môže ešte zvýšiť ich atraktivitu pre kybernetických zločincov.

Ikonický príklad

Príklad, ktorým môžeme ilustrovať relevanciu, bol útok na americký gigant Target ešte v roku 2013. Vtedy sa táto obchodná sieť stala obeťou kybernetického prieniku, ktorý zapríčinilo zneužitie prístupových údajov dodávateľa klimatizačnej a vykurovacej techniky.

Útočníci získali prístup k citlivým údajom miliónov zákazníkov vrátane čísel kreditných a debetných kariet.

Útok spôsobil obrovské škody, nielen finančné, ale aj v oblasti dôvery zákazníkov a reputácie spoločnosti. Náklady na vyšetrenie incidentu, na opravy bezpečnostných systémov, právne náklady spojené so žalobami od zákazníkov a bánk a aj pokuty od regulačných orgánov sa ťahali roky. Odhadom v desiatkach miliónov až miliárd dolárov.

Softvér potrebuje každý

Útoky na dodávateľský reťazec môžu mať veľa foriem a využívať rôzne techniky. Významný rast však zaznamenali útoky na softvérový dodávateľský reťazec.

Obrovský tlak na rapídny vývoj softvérových riešení, používanie open-source knižníc či obrovská efektivita útoku len predznamenajú zrejmý nárast tohto konkrétneho typy útoku aj v budúcnosti.

Útočník si počká

Útočník môže implementovať zraniteľnosť do rozšírenej open-source knižnice, či dokonca celého repozitára a tak len s relatívne malým úsilím zaviesť zraniteľnosť k veľkému počtu klientov.

Navyše tento útok nemusí byť ani cielený a môže byť robený „plošne“. Útočníkovi potom stačí len čakať na využitie takejto knižnice.

Tomu typu útoku, samozrejme, hrá do karát aj kopírovanie riešení z portálov, ako je StackOverflow či používanie kódov priamo z Githubu.

Ako z toho von

Konať, samozrejme, musia tak malé, ako aj veľké spoločnosti: Pre tie väčšie podniky je nevyhnutné, aby implementovali opatrenia na monitorovanie a hodnotenie rizík spojených s tretími stranami a dôsledne vykonávali tzv. due deligence pri výbere dodávateľov.

Z technických opatrení môže pomôcť aj dodržiavanie „best practice“, ako je princíp minimálnych opatrení či prístup nulovej dôvery – zero trust.

Pre menšie podniky je však nutné vrátiť sa o krok späť. Tam treba začať s uvedomením, že práve kvôli ich spolupráci s veľkými firmami sa môžu stať obeťami kybernetického útoku. Nezostáva im nič iné, ako brať aj túto oblasť vážne – minimálne proaktívne monitorovať svoje aktíva a riadiť riziká.

Michal Srnec, CISO Aliter Technologies

menuLevel = 1, menuRoute = hn-special, menuAlias = hn-special, menuRouteLevel0 = hn-special, homepage = false
10. november 2024 10:25