פרצת נתונים שנערכה לאחרונה על ידי קוואנטס, שפגעה במידע האישי של 5.7 מיליון לקוחות, הדגישה את הסיכון המתמשך של ספקי שירותים חיצוניים לארגונים. התקרית, שהתרחשה ביוני, חשפה נתונים כמו שמות, תאריכי לידה, מספרי טלפון, כתובות דוא"ל ומידע מחשבונות הנאמנות של לקוחות קוואנטס במסגרת תוכנית הנוסע המתמיד. עם זאת, מידע פיננסי, מידע בדרכון וסיסמאות לא הושפעו.
אבל במקום לפרוץ למערכות ה-IT הפנימיות של חברת התעופה האוסטרלית, גנבו הפורצים את המידע הזה על ידי הטעיית מרכז קשר חיצוני בחו"ל, ולגרום להם לחשוב שהם עובדי קוואנטס שצריכים לאפס מידע של אימות רב-גורמי. לאחר שמידע אבטחה קריטי זה שונה, ההאקרים קיבלו גישה לא מורשית לפלטפורמת ענן חיצונית המכילה מסדי נתונים של לקוחות קוואנטס.
ההערכה היא שקבוצת פשיעת הסייבר Scattered Spider, שההאקרים שלה מפוזרים ברחבי ארה"ב ובריטניה, עמדה מאחורי הפריצה. מאז... ה-FBI... מוזהר שהקבוצה משיקה יותר ויותר התקפות הנדסה חברתית על חברות תעופה גלובליות. זה מגיע לאחר שמחקרים של חברת הביטוח הסייבר Cowbell מראים כי התקפות בשרשרת האספקה של תוכנה גדל ב-431% בארבע השנים האחרונות. בהתחשב בכך, מה יכולות חברות לעשות כדי לאבטח את שרשראות האספקה שלהן ולמנוע אירועים כמו הפריצה של קוואנטס?
לקחים חשובים ללמוד
אחד הלקחים הגדולים ביותר מפריצת הסייבר של קוואנטס הוא שלמרות שאימות רב-גורמי נועד לשמש כשכבת אבטחה נוספת, מה שמקשה על פושעי סייבר לפרוץ לחשבונות, הוא אינו בלתי חדיר לחלוטין. כך לדברי ג'ייק מור, יועץ אבטחת סייבר עולמי ביצרנית האנטי-וירוס ESET, שאומר שבני אדם מרושעים מסוגלים לפרוץ "אפילו את ההגנות הטובות ביותר".
לקח שני ממור הוא שעסקים צריכים להבין ששרשראות האספקה שלהם טומנות בחובן "חולשות בלתי נמנעות" שקל להאקרים לנצל, כמו התחזות לעובדים אמיתיים, ושעלולות "לגרום להרבה נזקים בעקבותיהן".
תחושה זו מהדהדת על ידי ויג'אי דילוואלה, יועץ ראשי בספקית תוכנת אבטחת היישומים Black Duck. הוא טוען שגם אם לחברות יש הגנות סייבר חזקות, הן חסרות תועלת למעשה אם הספקים עליהם עסקים מסתמכים אינם מקדישים את אותה רמת תשומת לב לאבטחת סייבר. הוא אומר ל-ISMS.online: "מערכות הליבה של קוואנטס לא נפרצו, אך מיליוני רשומות עדיין הגיעו לידיים הלא נכונות בגלל פער אצל צד שלישי".
דילוואלה אומר שכאשר מידע אישי נפרץ בצורה כזו, הדבר עלול לגרום להשלכות "חמורות" על עסקים. אלה כוללות שחיקה באמון הלקוחות, קנסות רגולטוריים וכתבות חדשותיות המטילות את האשמה הן על החברה והן על הספק, גם אם הראשון אינו אשם. הוא מוסיף: "בעולם הדיגיטלי של היום, ההיקף המסורתי לא באמת קיים. כל ספק, כל ספק מיקור חוץ, כל פלטפורמת SaaS הם חלק ממשטח התקיפה שלך."
השלכות תאימות
בהתחשב בכך שהגנות משופרות בתחום הסייבר, כגון MFA, לבדן אינן מספיקות כדי להגן על ארגונים מפני דליפות נתונים הרסניות, בעוד שמתקפות שרשרת האספקה ממשיכות לגדול, ארגונים צריכים בבירור לעשות יותר.
עבור דילוואלה מבלאק דאק, משמעות הדבר היא להתייחס להערכת סיכונים של ספקים כתרגיל מתמשך ולא כפעילות בודדת של סימון בעת קליטת ספקים חדשים. לצד סינון קפדני של ספקי שירותים חיצוניים, הוא אומר שארגונים חייבים לנטר באופן רציף את סיכוני הסייבר שמציבים ספקים ולקבוע כי ספקים יתייחסו ברצינות לאבטחת הסייבר בחוזים פורמליים. בחוזים אלה, ארגונים צריכים לגרום לספקים להסכים לביקורות אבטחת סייבר והודעות על אירועים.
אבל, מאמצים אלה אינם נועדו רק להגן על הפנים - הם גם חובה רגולטורית. דילוואלה מסביר שבאוסטרליה, עקרונות הפרטיות האוסטרליים מחייבים חברות לדווח על כל סוג של פרצת סייבר. בינתיים, תקני תעשייה כמו ISO 27001 מדגישים את החשיבות של ניהול סיכוני שרשרת האספקה. הוא מוסיף: "המסר ברור: פיקוח על הספקים שלך אינו אופציונלי עוד."
בכל הנוגע לניהול סיכונים אלה, דילוואלה ממליץ לארגונים לאמץ מערכת ניהול אבטחת מידע (ISMS), מכיוון שהיא תאפשר להם לנטר ולזהות פגיעויות בשרשרת האספקה בכל שלב במערכת יחסים עם ספק, החל מהקליטה ועד לסגירה.
"אתם יכולים לוודא שביקורות לא רק מתוזמנות, אלא גם מתבצעות מעקב אחר תיקונים. אתם יכולים לבנות תמונה מלאה של שרשרת האספקה המורחבת שלכם, כך שלא תפספסו את הקשרים עם צד רביעי", הוא אומר. "ואתם יכולים לכלול ספקים בתרגילי התגובה שלכם לאירועים, כך שכאשר משהו משתבש, אתם כבר יודעים איך להגיב יחד."
בנוסף לשימוש ב-ISMS, מייקל טיגס, אנליסט פעולות אבטחה בכיר בפלטפורמת אבטחת סייבר ארגונית צַיֶדֶת, קורא לארגונים לפתח מסגרות ייעודיות המשתמשות בתקנים כמו ISO 27001, לנטר ולבצע ביקורות על הספקים שלהם באופן קבוע כחלק מהסכמי רמת שירות "ברורים", להיות שקופים לגבי תנועת נתונים ולהשקיע במערכות גילוי ותגובה.
צעדים נוספים
בדיקות תקינות ספקים הן צעד מכריע נוסף בביטול סיכוני אבטחה בשרשרת האספקה, על פי טיגס מהאנטרס. הן צריכות לכסות תחומים כגון בקרות גישה נאותות, אימות רב-גורמי, יומני אירועים וסימולציות אירועים.
כחלק ממאמצים אלה, הוא מעודד חברות לערוך תרגילי אבטחת סייבר שולחניים, בהם הן עוברות מתקפת סייבר מציאותית ומעריכות כיצד הצוות שלהן מגיב, על מנת לזהות ולסגור פערים ביטחוניים. ניתן לשלב גם ספקים חיצוניים בתרגילים אלה.
טיגס מדגיש גם את החשיבות של ניהול בעלי עניין יעיל. הוא אומר ל-ISMS.online: "התחילו בקיום שיחות מציאותיות; מה אנחנו מקווים להשיג כאן, אילו סיכונים אנחנו יכולים לסבול, והיכן נוכל לחזק את ההגנות שלנו בדרכים אחרות כדי לסייע במתן סיכון זה?"
רוס ברואר, סגן נשיא EMEA בחברת ניהול הלוגים וניתוח האבטחה Graylog, מסכים שארגונים צריכים לשקול את סיכוני שרשרת האספקה בתרגילי אבטחת הסייבר שלהם. פעולה זו תאפשר להם "לבחון נהלי זיהוי, הסלמה ותגובה" בתוך הארגון שלהם.
מבט לעתיד
מור מ-ESET מאמין כי לארגונים לא תהיה ברירה אלא להפוך את הערכות אבטחת הספקים לחלק חיוני מתצורת הממשל שלהם בעתיד, בהינתן מתקפות סייבר בשרשרת האספקה שלא מראות סימני האטה. משמעות הדבר היא להתייחס לספקים חיצוניים "כשלוחה של הארגון" עם "אותה אחריות" כדי להבטיח הישרדות בנוף רגולטורי המתפתח במהירות.
מכיוון שעסקים רבים כיום מעבירים חלקים שונים של הארגון שלהם לספקים חיצוניים, דילוואלה מבלאק דאק אומר שהם צריכים להתייחס למצב האבטחה של הספקים באותה רמת חשיבות כמו שלהם. הוא ממשיך: "אי אפשר לשלב אבטחת שרשרת האספקה כמעין מחשבה שנייה; יש לשלב אותה בממשל, שכן אחריות ותאימות הן דרישות ליבה של עשיית עסקים."
בטווח הארוך, טיגס מהאנטרס אומר שעסקים וספקיהם יצטרכו להיות "שקופים ומגובשים" בשיטות אבטחת הסייבר וניהול הנתונים שלהם עקב רגישות המידע המשותף. הוא מסכם: "מוניטין ארגוני ונתונים אישיים נמצאים על כף המאזניים, וכל האנשים המטפלים בנתונים אלה הם בעלי עניין בתהליך זה".
למרות שפריצת הסייבר של קוואנטס לא נבעה מרשלנות אבטחת סייבר מצד חברת התעופה האוסטרלית, ניתן היה למנוע את האירוע אילו לחברת התעופה היו נהלים חזקים יותר של אבטחת שרשרת האספקה. עבור ארגונים אחרים, זהו לקח חשוב: שאבטחת הספקים שלכם חשובה לא פחות משלכם. יש לחזק זאת בחוזי ספקים מקיפים, בדיקות בריאות סדירות של שרשרת האספקה ותרגילי אבטחת סייבר שלוקחים בחשבון את סיכוני האבטחה של שרשרת האספקה.
