Własność intelektualna – np. kod źródłowy czy wrażliwe informacje na temat klientów – to główny powód, dla którego małe i średnie przedsiębiorstwa stają się celem cyberataków. Jednak nawet gdy firma nie dysponuje danymi cennymi z punktu widzenia hakerów, może zostać potraktowana jako ogniwo w ataku na łańcuch dostaw. W takim przypadku podstawowym celem ataku jest inna firma, ale straty dla dostawcy mogą być bardzo wysokie – zarówno finansowe, jak i wizerunkowe.
Słabe ogniwo i ekonomia skali
Ataki na łańcuchy dostaw związane są z infiltracją systemu poprzez zewnętrznego partnera lub dostawcę z dużym poziomem dostępu do danych. Może to być dostawca usług chmurowych lub oprogramowania. Ataki pośrednie są często dla cyberprzestępców łatwiejsze oraz bardziej opłacalne niż ataki bezpośrednie, ponieważ pozwalają na dostęp do większej liczby organizacji. Zdarza się, że dostawca jest chroniony gorzej niż faktyczny cel operacji. W takiej sytuacji można włamać się do jego systemu i wykorzystać zbudowane zaufanie oraz połączenia infrastrukturalne.
– Hakerzy atakując łańcuch dostaw zazwyczaj chcą osiągnąć jeden z dwóch celów. Pierwszy z nich związany jest z atakiem na konkretną organizację dysponującą istotnymi zasobami. W tej sytuacji jej dostawca staje się „słabym ogniwem” i furtką w szerokim systemie ochrony. W drugim scenariuszu przestępcy chcą uzyskać efekt skali. Łamiąc zabezpieczenia jednej firmy, umieszczają implant w jej produkcie. Po jakimś czasie mają dostęp do systemów większości klientów, którzy łączą się z zainfekowanym systemem. W ten sposób mogą przeprowadzić atak ransomware lub dokonać kradzieży ważnych informacji – tłumaczy Leszek Tasiemski, VP of Products w WithSecure.
Atak Sunburst – przypadek SolarWinds
Dla zobrazowania wpływu ataków na łańcuchy dostaw można posłużyć się przypadkiem SolarWinds – dostawcy produktu do monitorowania sieci. Jeden z modułów systemu – Orion – został zmodyfikowany przez przestępców, a następnie poprzez proces aktualizacji dostarczony do wielu podmiotów – w tym największych amerykańskich firm i organizacji rządowych. Moduł, imitując normalne operacje, służył do działań zwiadowczych i rozpowszechniania złośliwego oprogramowania. Co gorsze ze względu na profil zainfekowanych organizacji (rządowe, konsultingowe, telekomunikacyjne), niemożliwe było natychmiastowe zdiagnozowanie głębokości infiltracji.
