האם ESG Data הוא היעד הבא עבור שחקני כופר?

כפי שאמרה פעם צפרדע מפורסמת, זה לא קל להיות ירוק. בסוף ינואר, דיווחו של מתקפת תוכנת כופר על חטיבת Business Sustainability של שניידר אלקטריק, מה שמעלה את השאלה: עד כמה חשובה מטרה נתוני קיימות ארגוניים? כאשר ארגונים מתחילים ברצינות באסטרטגיות סביבתיות, חברתיות וממשל (ESG), ייתכן שהם יצטרכו לעשות יותר כדי לשמור על מידע זה נעול.

מה קרה בשניידר אלקטריק?

קבוצת תוכנות הכופר של קקטוס טענה שיש לה 1.5 טרה-בתים מנתוני החברה, ואיימה לפרסם אותם בפומבי אם הרב-לאומי הצרפתי לא ישלם. חודש לאחר מכן, זה פורסם 25MB של נתונים כדי להניע הביתה את האיום. עדיין לא ידוע אם שניידר אלקטריק שילמה כופר עבור הנתונים, וגם לא אם קקטוס הצפין את המידע תוך כדי גניבתו, שזהו אופן הפעולה הכללי שלה.

שניידר אלקטריק סבלה בעבר מהתקפת תוכנת כופר; חבורת קלופ השיגה גישה לחלק מהנתונים שלה במאי 2023 כחלק מהמתקפה על שירות העברת הקבצים MOVEit של Progress Software, ששאבה אלפי מידע של חברות.

הפעם, התקיפה התמקדה בחטיבה ספציפית אחת. חטיבת Business Sustainability Business היא פעילות בתוך שניידר אלקטריק המתמקדת בשוק חדש יחסית: איסוף ודיווח של נתוני קיימות.

צורך הולך וגובר בנתוני ESG

נתוני קיימות מייצגים את ה-"E" ב-ESG, תנועה הולכת וגדלה להפיכת חברות אחראיות יותר להשפעתן על כדור הארץ והחברה. צד הקיימות עוסק במדדים הכוללים צריכה (של משאבים כמו אנרגיה ומים), יחד עם פליטות (בדרך כלל של גזי חממה).

נתונים אלה שימושיים למשקיעים שמנקדים יותר ויותר חברות על ביצועי ה-ESG שלהם. חברה לניהול השקעות נמצאה קבוצת הון כי תשעה מתוך 10 אנשי מקצוע בתחום ההשקעות בעולם רואים ב-ESG באסטרטגיות שלהם, כאשר 57% מאמינים שהוא יכול לחשוף הזדמנויות השקעה אטרקטיביות. עם זאת, 54% מהם אומרים שקשה יותר לקבל נתונים אלה. ככל שלמשקיעים יש יותר מזה, כך הם מרגישים יותר נוח להכניס כסף לחברות הללו

לחצים אחרים גורמים לחברות להתמקד בדיווח על קיימות. באיחוד האירופי, ה הוראת דיווח על קיימות תאגידית (CSRD) יאכוף את תקני דיווח על קיימות באירופה (ESRS), יישום דיווח קיימות מפורט יותר על חברות האיחוד האירופי או על חברות הפועלות בגוש.

כדי להבין את הערך של נתוני הקיימות התומכים ביוזמות אלה, עקוב אחר הכסף. ארבעת הגדולים רודפים באופן פעיל אחר עסקי קיימות מונעי נתונים. דלויט מוּשׁקָע מיליארד דולר בשיטות הקיימות והאקלים שלה באפריל 1, ומציעה שירות ניתוח קיימות פרקטיקה המסייעת ללקוחות לנטר את השימוש במשאבים הן פנימית והן על פני שרשרת האספקה ​​שלהם. EY, KPMG ו-PwC מציעות כולן שירותים ליצירת אסטרטגיית קיימות ולאחר מכן לשלב נתוני תפעול כדי לתמוך בה.

משטח התקפה מתרחב

איסוף ודיווח של נתונים אלה יוצר מספר סיכונים עבור חברות:

עומק ורוחב נתונים

חברות קוטפות מגוון רחב של נתוני תפעול מהמתקנים שלהן, החל מצריכת החשמל של מכונות בודדות ועד לייצור פסולת, כמויות דלק ומספרי צי.

חלקם, כמו PwC, עו"ד אגמי נתונים שיכילו תערובת של נתוני תפעול, מגוון ביולוגי ובטיחות. אלה יהיו נשואים עם אגמי נתונים אחרים המחזיקים מידע על לקוחות ושוק, יחד עם נתונים ממערכות ERP, חיישני IoT ואפילו נתוני משאבי אנוש. הוא צופה שכל המידע הזה זורם דרך כלי דיווח על קיימות.

היקף נתונים

האיום הנוסף הוא היקף הנתונים הנאספים, אשר משתרע מעבר לפעילות הקניינית של ארגון ועד לנתוני הספקים שלו. המודל של PwC לנתוני קיימות כולל מידע של צד שלישי מאחרים בשרשרת האספקה ​​הארגונית.

המתקפה על שניידר אלקטריק פגעה בפלטפורמת EcoStruxure Resource Advisor שלה. זוהי מערכת מבוססת ענן שאוספת ומנתחת נתונים על תפעול מתקנים ושרשרות אספקה. זה מאפשר ללקוחות לנטר ולחזות את צריכת האנרגיה, ולהפיק דוחות פליטות. החומר הפרסומי שלה מצהיר בגאווה שהוא לא רק משיג את הזנות הנתונים של הלקוחות שלו, אלא גם נתונים מספקי צד שלישי.

ריכוז נתונים

חברות כמו שניידר אלקטריק רודפות אחרי רווחים משירותי נתוני קיימות על ידי הסרת איסוף וניתוח הנתונים הללו מידי הלקוחות. זה הופך את ספקי שירותי נתוני הקיימות הללו ליעד אטרקטיבי עבור פושעי סייבר שרוצים לאסוף כמויות גדולות של מידע יקר ערך זה של לקוחות. יחידת הקיימות של שניידר אלקטריק מנתה כמה חברות בעלות ערך גבוה בקרב לקוחותיה, כולל Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo ו- Walmart.

איך להישאר בטוחים במרדף אחר קיימות

לא ברור אם ההתקפה על שניידר אלקטריק הייתה ממוקדת או סתם תאונה מזל של גנבים אופורטוניסטים, אבל כך או כך הנתונים הרגישים הללו הם ללא ספק מטרה בעלת ערך. אז מה חברות יכולות לעשות כדי להגן על עצמן?

הערכת ספקים לגבי שיטות אבטחה אפקטיביות היא המפתח, כולל הערכת אישורי בקרת אבטחת הסייבר שלהם. עם זאת, אישורים אלה אינם מבטיחים 100% אבטחה. אמצעים אחרים יכולים להפחית את ההסתברות לגניבת נתונים.

חשוב לשמור על מלאי נתונים חזק - לעקוב אחר כל הנתונים המשותפים, ולתעד בבירור את סוגי המידע הרגיש שאליו ספק שירותים של צד שלישי יכול לגשת. קביעת פרוטוקולים לניהול סיכוני גישה, הן על ידי ספקי שירותים של צד שלישי והן באופן פנימי, היא גם נוהג אבטחה טוב.

בין אם מדובר בספק שירותים של צד שלישי או באיסוף ושמירה פנימית של כל הנתונים, הגנה מפני תוכנות כופר היא חיונית. משמעות הדבר היא הצבת בקרות, כגון זיהוי ומניעה בסיסיים של נקודות קצה ועד לזיהוי ותגובה מנוהלים (MDR). היגיינת סייבר בסיסית, כולל עדכוני אבטחה בזמן והדרכה למשתמשי קצה, הם גם קווי הגנה שימושיים.

נתוני ESG הופכים לנכס מושך יותר ויותר עבור נוכלים מקוונים, בין אם הם תופסים אותם ללא הבחנה ברשתותיהם או מחפשים אותם בכוונה. אמצעי אבטחת סייבר יעילים שמתועדים היטב יסייעו רבות בהגנה על התכשיט החדש הזה שבכתר.