Зрозуміло, що безпека ланцюга постачання є гарячою темою в управлінні кіберризиками. Зі збільшенням використання API, залежністю від коду сторонніх розробників, використанням хмарних обчислень тощо компанії, які вирішують передавати ІТ-послуги на аутсорсинг, створюють більш взаємопов’язану та складнішу ІТ-екосистему, у якій важче виявити та контролювати вразливі місця в ланцюзі постачання.
Протягом останніх років серія резонансних порушень безпеки з боку досвідчених хакерів вразила компанії через їхні ланцюжки постачання. А це часто призводило до втрати або викрадення конфіденційних даних. У цій статті розглядається запобігання втраті даних (DLP) у ланцюзі постачання. Також, розбираємо чому компанія більше не може турбуватися про безпеку точок виходу лише у власному ІТ-середовищі.
Безпека ланцюга постачання та дані: який зв’язок?
Ланцюжок постачання означає мережу організацій, які координують роботу, щоб доставити продукт або послугу від виробництва до кінцевого споживача. Це стосується виробників, постачальників, продавців, постачальників послуг, транспортників, гуртовиків тощо. З чимраз більшим цифровим взаємозв’язком будь-яка слабка ланка цього ланцюга потенційно піддає всю мережу ризикам безпеки, зокрема втраті даних.
Якщо окремий постачальник не захищає належним чином свої системи та стає скомпрометованим, витік даних може поширитися по всьому ланцюжку постачання. Компанії регулярно обмінюються конфіденційними даними зі своїми партнерами по ланцюгу постачання, щоб забезпечити безперебійну роботу. Ланцюгом постачання програмного забезпечення особливо важко керувати. Це пов’язано з тим, що компанії залежать від інших програм і відкритого вихідного коду для доставки програмного забезпечення. Відповідно, недоліки стороннього коду або коду програм можуть означати, що дані будуть скомпрометовані.
Якщо будь-який із цих партнерів має погані методи захисту даних, втрата або крадіжка даних є звичайним результатом, навіть якщо власна стратегія безпеки даних надійна. Існують також ризики внутрішньої загрози з цими партнерами ланцюга постачання, коли один із їхніх співробітників діє зловмисно, в результаті чого дані втрачаються або продаються третій стороні.
Останніми роками зловмисники показали, що їх основною метою під час кібератак часто є викрадення конфіденційних даних. Багато просунутих фішингових шахрайств змушують співробітників розкривати конфіденційні дані або завантажувати зловмисне програмне забезпечення, яке викрадає дані з кінцевих точок.
Окрім даних, захищених нормативними актами, як-от GDPR та PCI DSS, компанії також зберігають конфіденційні дані, як-от інтелектуальну власність, яка надзвичайно цінна для забезпечення конкурентної переваги. Усе це означає, що підхід до безпеки даних має виходити за межі власних систем і охоплювати весь ланцюжок постачання.
Атаки на ланцюг постачання, які скомпрометували конфіденційні дані
Щоб зрозуміти справжнє значення конкретних ризиків кібербезпеки, завжди варто вивчити деякі реальні інциденти. Давайте подивимося на деякі нещодавні атаки на ланцюги постачання.
MOVEit: у червні 2023 року серйозна атака на ланцюжок постачання вразила такі великі організації, як BBC і British Airways. Інфікувавши програму для передачі файлів MOVEit шкідливим кодом, хакерам вдалося викрасти базу особистих даних у компаній, які покладалися на програму MOVEit.
3CX: цей комплексний злам породив появу атаки подвійного ланцюжка постачання як нового вектора атаки. Північнокорейські хакери вставили зловмисний бекдор у програмне забезпечення VoIP 3CX, і кожен, хто завантажував уражене оновлення, несвідомо встановлював шкідливе програмне забезпечення для крадіжки даних на свій пристрій.
SolarWinds: один з найгучніших кіберзламів усіх часів, атака SolarWinds, пов’язана з хакерами, які зламали ІТ-платформу моніторингу Orion (виробництва SolarWinds). Проникнувши в цю програму, зловмисники отримали доступ до конфіденційних даних організацій, які використовували Orion, зокрема урядових установ США та приватних компаній.
DLP покращує безпеку ланцюга постачання
Вимагати високого рівня захисту даних у всьому ланцюжку постачання не зовсім нерозумно. З урахуванням усіх залежностей, пов’язаних із сучасними ланцюжками постачання, і кількості опортуністичних кіберзлочинців, які націлені на них, виявляти обережність, вимагаючи високих стандартів, є розумним підходом.
Зараз багато компаній визнають необхідність прийняти стратегію нульової довіри. Згідно з нею будь-що або будь-хто, хто намагається отримати доступ до їхнього середовища та даних, за умовчанням не отримує довіри. Замість цього запити на доступ вимагають постійної автентифікації в реальному часі на основі контексту та інших факторів ризику. У той час як нульова довіра зменшить ризик ланцюжка постачання у довгостроковій перспективі, шлях до впровадження ефективної архітектури може бути тривалим, дорогим і складним для навігації.
Безпосередній спосіб покращити стан безпеки – встановити вищі стандарти для партнерів у ланцюжку постачання. Наприклад, додати до контрактів наявність DLP-рішення у постачальників. Ця вимога суттєво підвищує впевненість у тому, що втрата даних або крадіжка в результаті атак на ланцюжок постачання набагато менш імовірна.
