Mnohí podnikatelia svoje živobytie radi prirovnávajú k vedeniu lode na šírom mori. Rovnako ako kapitán čelí rôznym vrtochom počasia, aj podnikateľ sa snaží udržať svoju firmu na správnej ceste. A pootočiť kormidlom zakaždým, keď je potrebné ochrániť ju pred hrozbami. Ako ale viesť túto pomyselnú podnikateľskú loď tak, aby ju neohrozila malá rybka?
More dodávateľov
Táto otázka môže znieť absurdne, no vo svete kybernetickej bezpečnosti sa s tým stretávame pomerne často. A hovoríme tomu útoky dodávateľského reťazca, alebo aj supply chain attacks.
Ide o fenomén, pri ktorom aj malé hrozby dokážu ohroziť robustný systém. Jeho úspešná kompromitácia je pre útočníkov skutočne cenným úlovkom. Nie je však vôbec jednoduchá. Na to, aby útočníci dokázali „veľkú rybu“ chytiť, musia najskôr zaútočiť na „malé rybky“ – dodávateľov. A tie použiť ako návnadu.
Práve táto taktika sa stala základom jedného z najvýraznejších kybernetických útokov minulého roka.
Trpezlivosť sa vypláca
Veľkou rybou bol v tomto prípade poskytovateľ komunikačných riešení, spoločnosť 3CX. Útočníci sa ale najskôr zamerali na menšieho dodávateľa softvérových komponentov. Zaútočili teda na malú rybu. Spravili to celkom jednoducho - do jej finančného softvéru umiestnili malvér.
Tento softvér obsahujúci škodlivý kód si napokon jedného dňa stiahol do firemného systému istý zamestnanec spoločnosti 3CX. Tušíte správne, otvoril tak dvere útočníkom.
Nasledovala krádež prihlasovacích údajov nič netušiaceho zamestnanca, prevzatie kontroly nad napadnutým systémom a kompromitácia serverov. Vo finále útočníci nasadili ďalší škodlivý kód do aplikácie, ktorú používali tisíce zákazníkov po celom svete.
Učebnicový príklad
Spoločnosť 3CX s 12 miliónmi používateľov v rôznych sektoroch tak čelila závažným a rozsiahlym dôsledkom incidentu.
Zároveň ide o prvý zaznamenaný prípad nested supply chain attack, kedy jeden útok v rámci dodávateľského reťazca spustil útok ďalší. Tento konkrétny incident je doslova učebnicovým príkladom toho, ako útočníci využívajú menej chránených partnerov v dodávateľskom reťazci - malé rybky, na to, aby kompromitovali svoj hlavný cieľ - veľkú rybu. Mohlo by sa to stať aj u nás?
Slovenské malé ryby
Slovensko je neodmysliteľnou súčasťou globálneho trhu, a naše firmy rôznych veľkostí denne využívajú služby zahraničných poskytovateľov softvéru a IT riešení. Práve táto spolupráca s veľkými a renomovanými firmami dáva mnohým podnikateľom mylný pocit bezpečia. Príklad incidentu spoločnosti 3CX nám ale jasne ukazuje, že kybernetické útoky často začínajú práve u menších, menej chránených článkov dodávateľského reťazca.
Nedostatočné zabezpečenie dodávateľov je preto kľúčovým, no často zanedbávaným rizikom. Potvrdzuje to aj Správa o kybernetickej bezpečnosti v SR za 2023, v ktorej sa uvádza, že 43 percent slovenských malých a stredných podnikov sa zaoberá riadením kybernetických rizík. Mnohé z nich však stále podceňujú ochranu dodávateľov. A práve to môže mať fatálne dôsledky pre celý dodávateľský reťazec.
Cena nad bezpečnosť
Slovenské podniky skutočne nevenujú dostatočnú pozornosť bezpečnosti svojich dodávateľov. Pre mnohých podnikateľov je totiž hlavným kritériom pri výbere softvérových či IT služieb cena a funkčnosť, pričom otázka kybernetickej bezpečnosti ostáva v úzadí.
Rozumieme tomu, že zabezpečenie dodávateľského reťazca je zložité a nákladné. Myslíme si však, že z dlhodobého hľadiska „sa to oplatí“. Firmám môže investícia do bezpečnosti nielen ušetriť obrovské finančné prostriedky, ale aj ochrániť ich reputáciu. A tá je v konkurenčnom prostredí často tým najcennejším aktívom. Investícia do bezpečnosti tak nie je len o ochrane pred potenciálnymi útokmi, ale aj o budovaní dôvery.
Ako sa teda chrániť?
Podnikatelia by v prvom rade mali upustiť od mylnej predstavy, že môžu mať pod kontrolou všetko. Vďaka dobre nastavenej bezpečnostnej stratégii dodávateľského reťazca do určitej miery dokážu kontrolovať zabezpečenie svojho dodávateľa. Nemajú už ale dosah na jeho ďalších obchodných partnerov. Myslíme si preto, že by sa mali sústrediť na veci, ktoré pod kontrolou majú.
Zároveň by ale mali myslieť aj na to, že ohrozenie môže prísť aj zo strany dodávateľov. Okrem toho je na mieste investícia do technológií, ktoré im pomôžu rýchlo odhaliť a reagovať na akékoľvek podozrivé aktivity v ich IT systémoch.
Ako vidíme na príklade spoločnosti 3CX, aj tá najmenšia rybka v dodávateľskom reťazci skutočne môže podnikanie ohroziť. Určite je preto lepšie klásť prevenciu na prvé miesto a byť pripravený, než po útoku zachraňovať „potápajúcu sa loď“. Nemyslíte?
Silvia Strežová, void SOC, centrum kybernetickej bezpečnosti SOITRON