העולם ממשיך להתפתח בכל יום וכמו שהטכנולוגיה והחדשנות ממשיכה להפתיע במגוון עולמות התעשייה כך גם פושעי הסייבר. כיום פושעי הסייבר מבינים שעל מנת שיוכלו להמשיך לתקוף ולפרוץ אתרים שונים ולגנוב מידע, הם חייבים לשכלל את המתקפות שלהם. תקיפת שרשרת אספקה הפכה להרבה יותר מתוחכמת בשנים האחרונות. כיום במקום לתקוף חזיתית ארגון מטרה המפעיל לרוב מערכות הגנה מתקדמות, הם בוחרים בנתיב של התנגדות מינימלית על ידי התמקדות בחוליה החלשה ביותר בשרשרת הקשרים העסקיים שלו: ספק או צד שלישי שרמת אבטחתו נמוכה יותר. לא מעט אירועים היסטוריים ועדכניים מוכיחים כי האמון שהארגונים נותנים בספקים שלהם יכול להפוך לנקודת התורפה הקריטית ביותר המנוצלת ביעילות הרסנית על ידי תוקפים. בדיוק מהסיבות הללו אבטחת מידע בשרשרת האספקה היא לא פריווילגיה אלא צורך של ממש לכל ארגון גדול או קטן.
אבטחת מידע בשרשרת האספקה – חשוב ללמוד מההיסטוריה
כאשר מדובר על מקרי פריצה ובכלל אבטחת מידע ההיסטוריה מדברת לבד ומוכיחה לנו שאסור להקל ראש וחשוב להמשיך ולהתעדכן טכנולוגית גם ברמת אבטחת ענן ולמעשה בכל פרמטר אפשרי דיגיטלי בארגון. המקרה של חברת הקמעונאות האמריקאית Target בשנת 2013 שימש כנקודת מפנה בהבנה ובמודעות לאיום מתקפות שרשרת האספקה. כאשר התגלתה תוכנה שנועדה לגנוב פרטי כרטיסי אשראי ממערכות נקודת המכירה של החברה, המסלול שהוביל אל סביבת המחשוב המאובטחת של החברה לא היה התקפה ישירה. ההשלכות של התקיפה הזו היו קשות. 40 מיליון פרטי אשראי נגנבו והחברה נאלצה להוציא מעל 200 מיליון דולר על מנת להתאושש מהפרשה החמורה הזאת. האירוע הזה הבהיר שחשוב שיהיה שינוי בהגנה מפני מתקפות אלו וחייבת להיות אבטחת מידע בשרשרת האספקה על מנת שארגונים רבים יוכלו להמשיך להתקיים.
מתקפות מבוססות תוכנה – זה קיים
הפושעים המודרניים של התקופה הנוכחית בעולם הסייבר ובכלל, מפעילי תוכנות הכופר השתמשו דאז בשיטת התקיפה העקיפה הזו עוד לפני 2013. התדירות, המורכבות וההיקף של מתקפות אלו עלו באופן משמעותי מאז. מתקפות שרשרת האספקה המודרניות מתמקדות לרוב בתוכנות כאשר הן מנצלות את האמון הבסיסי שהארגונים נותנים בקוד ובשירותים המגיעים מספקים לגיטימיים. סוג זה של תקיפה הוא קשה במיוחד לאיתור ולמניעה. בשנת 2020 התגלה מתקפת solarwinds שהחלה בכלל בשנת 2019. מתקפה זו היא דוגמה קלאסית למתקפה של שרשרת אספקת תוכנה. במקרה זה קבוצה של האקרים הצליחה לחדור אל סביבת הייצור של החברה, להטמיע נגישות בתוך עדכון תוכנה של תוכנת ניטור הרשת ולהוביל אל מתקפת כופרה שהפיצה עדכון מזויף אל מערכות ספקי השירותים המנוהלים. מהלך זה הועבר אל 18,000 מלקוחות החברה ומתקפה זו ניצלה חולשה יחידה כדי להגיע אל מספר רב של לקוחות.
מהן הטכניקות הנפוצות ביותר למתקפות אלו
ישנן מספר טכניקות נפוצות במתקפות שרשרת אספקת תוכנה, ביניהן חטיפת עדכוני תוכנה, ערעור חתימת קוד ופיצוח קוד פתוח. לעומת זאת, הפריצה לTarget היא דוגמה למתקפה קלאסית של יחסים מהימנים. בטכניקה זו התוקפים חודרים לצד שלישי שהינו פחות מאובטח בשרשרת האספקה כדי לנצל לרעה את יחסי האמון הקיימים בינו לבין ארגון היעד. בנוסף למתקפות מבוססות תוכנה, קיים גם איום של מתקפות שרשרת אספקת חומרה. סוג זה של מתקפה נדיר יותר בשל מורכבות הביצוע ודרישת ההשקעה הכספית הגבוהה והוא כולל התעסקות ברכיבים פיזיים כמו התקני רשת, שרתים או מכשירי מחשוב ניידים.
בשנת 2018 דווח על מתקפה משמעותית של שרשרת אספקת חומרה. כוחות סיניים השתילו מיקרו שבב קטן בגודל של אורז על לוחות אם שסופקו על ידי חברת Supermicro שהינה ספקית בינלאומית נחשבת בתעשייה. המטרה הייתה לספק גישה לארגונים שרכשו את שרתי החברה. הטענות אמנם הוכחשו אך ההשלכות היו הרסניות מבחינת חבלה ברמה הפיזית וכמובן הצורך בבדיקה מוקפדת של רכיבי החומרה. כדי להתגונן מפני איומים אלה הארגונים חייבים לנקוט בצעדים מחמירים ברמת האבטחה ולכן אבטחת מידע בשרשרת האספקה היא כבר מזמן לא המלצה. בניית מערך אבטחה דיגיטלי ברמה הגבוהה ביותר מצריך מחויבות גבוהה ומקיפה לאבטחה וכמובן אנשי מקצוע מהטובים ביותר בתחום.
ניטור ואבטחת ספקים – חשוב לדעת
הצעד הראשון והבסיסי הוא יצירת מפה מלאה ומדויקת של שרשרת האספקה. חשוב לוודא מי הם הספקים וכיצד פועלת השרשרת כדי לאתר ולנטר סיכונים ונקודות תורפה אפשריות. כדאי לבחון בקפדנות את כל הרשאות הספקים ולהעניק להם רק את רמת הגישה הנמוכה ביותר הנחוצה לביצוע תפקידם. זהו למעשה עקרון החיסיון המינימלי ובמקרה של ספק ברירת המחדל צריכה להיות מתן ההרשאות המצומצמות ביותר האפשריות. כל איומי הסייבר, גם אלו המגיעים בעקיפין דרך ספקים חייבים להיעצר בנקודות הקצה. חשוב להשקיע במערכות אבטחה חכמות ואפקטיביות לתגובה ולזיהוי בנקודות קצה וגם בפתרונות לניטור שהינם מתקדמים כמו שירותי תגובה מנוהלת. כל זאת על מנת לעקוב אחר פעילות רשת שנראית חשודה ועלולה להוביל אל מתקפה בעלת השלכות קשות.
תחזוקה שוטפת תוביל לתוצאות טובות לאבטחת הארגון
תהליכי הטמעת עדכוני ותיקוני תוכנה חייבים להתנהל בצורה מאובטחת ומבוקרת. כאשר יש לכם ליווי מקצועי וצוות מומחים המלווה אתכם אתם למעשה מקבלים את ההדרכה הטובה ביותר, ההכוונה ומעבר לכך גם תמיכה טכנית מלאה מרחוק ופיזית. בהקשר של תחזוקה שוטפת, אבטחת מידע ברמה גבוהה וחדשנית לצד עדכונים שוטפים ללא ספק יובילו אל הדרך הטובה ביותר לאבטחת הארגון ולשמירה על המידע הרגיש בחברה. כמו כן, פיתוח תוכנית תגובה לאירועי סייבר או תוכנית התאוששות מאסון היא צעד חכם וחשוב שיש לקחת בחשבון ולהעלות על סדר היום. תוכנית זו צריכה להיות מותאמת אישית לארגון ולכלול מחויבות לתקשורת שקופה ואותנטית עם הלקוחות במקרה של מתקפה. יש לוודא את תקינות מערך הגיבויים. שימו לב לגיבויים שאינם מקוונים ודאגו לביצוע בדיקות שחזור מלאות ותקופתיות לסביבה חלופית. פעולות אלו הן חשובות ליכולת הארגון להתאושש ממתקפה. גיבויים שבודקים אותם ומוודאים שהם תקינים הם גיבויים שיצילו את הארגון שלכם בזמן מתקפה ויהפכו את תהליך ההתאוששות לקל יותר. ברגע שהגיבויים אינם תקינים ההשלכות הן אסון של ממש.
הדרכת עובדים והגברת המודעות לאבטחת המידע בארגון
ארגון שלא מדריך את העובדים על חשיבות אבטחת מידע בשרשרת האספקה הוא ארגון שיהיה לו קשה להתאושש במקרה של אסון. הדרכת העובדים היא פרמטר חשוב ואין להקל בכך ראש. יש לוודא שכלל העובדים והשותפים העסקיים מודעים לסיכונים אפשריים ולדגלים האדומים הקשורים למתקפות אלה כדי לאפשר דיווח מהיר ותגובה ארגונית אפקטיבית. האיום של מתקפות שרשרת אספקה הופך להיות דומיננטי וקטלני יותר מיום ליום ותוך כך מחייב את הארגונים להפנים שמערך האבטחה שלהם כמערך חזק יכול להיות ההבדל בין אסון לבין התאוששות וקלה. הכרה באיום, לצד יישום שורה של צעדים אסטרטגיים וטכנולוגיים, היא הדרך היחידה לצמצום החשיפה ולהבטחת ביטחון הארגון ולקוחותיו בתקופה בה האמון הוא הדבר החשוב ביותר.
חברת טריפל סי שנוסדה בשנת 1989 כחברת מחשוב ואינטגרציה מעסיקה כיום כ-100 עובדים ומספקת פתרונות טכנולוגיים כוללים מקצה לקצה. החברה מתמחה במחשוב ענן ציבורי ופרטי, שירותי אירוח כולל התאוששות מאסון, שירותי תקשורת ואינטרנט ואינטגרציה של פתרונות מחשוב, הכל מתוך מתקן אירוח מתקדם וחדשני. צרו עמנו קשר עוד היום, נשמח להעניק לכם את השירות הטוב ביותר.
