Leverantörsattacker

Skrivet av Henrik Ottosson

Om du plötsligt fått intrycket av att leveranskedjor attackeras till höger och vänster så du är inte ensam och du har inte fel. Enligt olika rapporter från 2021 och hittills under 2022 utsattes globala leveranskedjor för huvuddelen av Ransomware-attacker under 2021, och detta kommer sannolikt fortsätta vara fallet i framtiden.

Men varför försörjningskedjor? Skulle inte något i stil med kritisk infrastruktur vara av större intresse? Anledningen tycks vara att försörjningskedjorna är starkt kopplade till den kanske största internationella industrin - Tillverkning. Med teknik som växer sig mer detaljerad och med industrier som vill ha synlighet över sin “Operational Technology” (OT), har klyftan mellan OT och IT krympt, om inte försvunnit helt. Sålunda visar sig attacker som en gång ansågs omöjliga inte bara vara möjliga utan, för cyberbrottslingar och utpressare, mycket lönsamma. Även om spionage och sabotage ibland är del av målbilden, börjar det oftast med utpressning.

För det andra tenderar dessa attacker att vara mer lönsamma än andra och verkar locka mindre uppmärksamhet från brottsbekämpande myndigheter. Det noteras också i flera rapporter, oavsett om det är flera sidor eller en enkel kommentar på webbplatsen, att dessa attacker i leveranskedjan inte alltid rapporteras, av rädsla för att skada rykte och hota existerande samarbeten och leverantörrelationer.

Rapporter från ENISA, ARGON, IBM X Force, CISA och andra visar att attackerna under 2021 ökade, vissa uppskattar med så mycket som 300-400%. Alla verkar också vara överens om att tillgång till nätverk via nätfiske, stulna inloggningsuppgifter eller brute force-attacker, samt utnyttjande av kända sårbarheter är de främsta attackvektorerna. Undermålig sårbarhetshantering och efterföljande brist på patchning, i kombination med brist på cybersäkerhetsresurser verkar vara en av huvudorsakerna till detta. Även om nya sårbarheter som Log4Shell-attacken har använts, har vissa äldre attacker också fungerat. REvil verkar vara den primära "Ransomware of choice" för angripare som används i mellan 31 - 50% av kända attacker.

Med den senaste tidens aktiviteter i Ukraina kommer attackerna i den kommande framtiden och under konflikten bara att öka.

Vad kan man göra?

Som de flesta rapporter och experter antyder skulle utbildning i säkerhetsmedvetenhet, sårbarhetshantering, patchning, testning och övervakning räcka långt för att minska antalet framgångsrika attacker. Ja, attacker som Log4Shell är nya, tidigare okända, men andra är äldre och nyttjas fortfarande under intrång.

Företag har enheter och system som inte är patchade eller uppsäkrade av olika anledningar. Äldre appar, uttjänt programvara, interoperabilitet med äldre OT- eller till och med IT-enheter, eller förmodligen de vanligaste, helt enkelt brist på pengar. Den gamla termen "If it ain't broke, don't fix it" gäller inte för cybersäkerhet på samma sätt.

Med kostnaden för ett genomsnittligt cybersäkerhetsbrott på cirka 4,24 miljoner USD, (IBM/Ponemon-rapport 2021) kan kostnaden för att genomföra några av dessa förändringar fortfarande anses vara för mycket. Kom ihåg att detta är kostnaden för de företag som överlever ett dataintrång.

Några vanliga åtgärder för att minska risken för attacker i leveranskedjan:

  • Fråga leverantörer om deras företag är certifierade enligt ISO, NIST eller liknande

  • Fråga leverantörer om de har ett utbildningsprogram för medvetenhet om säkerhet och nätfiske inom organisationen

  • Fråga leverantörer om de har en sårbarhetshanteringprocess

  • Övervakas leverantörer för säkerhetshändelser som:

  • Har leverantörer regelbundet sårbarhetsskanningar eller penetrationstester av sin infrastruktur, mjukvara och webbnärvaro?

Denna lista är inte en komplett lösning på alla problem men visar några av de saker som bör övervägas med leverantörer.

Henrik Ottosson
Föregående

Personuppgiftsansvar vid klinisk forskning
Nästa

Pressbriefing Cybersäkerhet