טענות קבוצת הכופר Everest שפרצה ל-Atlas Air ולספקית שלה, Tsunami Tsolutions, מראות כיצד מתקפות כופר מודרניות מנצלות את מורכבות שרשרת האספקה כדי ליצור סיכון - גם במקרים בהם הפרצות לא אושרו.
מאת קייט או'פלאהרטי
בפברואר, קבוצת תוכנות הכופר של אוורסט טען ששאף 1.2טרה-בייט של נתונים מחברת התעופה Atlas Air. הטענות שפורסמו בפורום האינטרנט האפל על ידי קרטל תוכנות הכופר גובו בצילומי מסך של המידע שנגנב לכאורה, כולל נתונים טכניים של מטוסי בואינג.
ימים לאחר מכן, טענו ההאקרים כי פרצו גם את ספקית התמיכה והמידע להנדסת אווירונאוטיקה והחלל Tsunami Tsolutions, שבסיסה בארה"ב, תוך התייחסות למערך נתונים קטן יותר במה שנראה כהתקפה מתואמת על שרשרת האספקה.
חברת אטלס אייר הכחישה את הפריצה ו-Tsunami Tsolutions לא הגיבה לטענותיה של אוורסט, אך האירועים מראים כיצד מתקפות כופר מודרניות מנצלות את ה... מורכבות שרשרת האספקה ועמימות ליצירת סיכון - גם במקרים בהם הפרות אינן מאושרות.
כיצד ארגונים יכולים לחזק את החוסן וההגנה שלהם אל מול תרחישי איום לא ודאיים ומהירים, החורגים משליטתם הישירה?
בעיות בצילום המסך
אוורסט טענה שיש לה ראיות לפריצה של אטלס אייר, אך המסמכים שהציגה היו יכולים בקלות להיות מזויפים. במקום שחרור דוגמאות נתונים מלאות, הקבוצה פרסמה צילומי מסך של מה שתיארה כמסמכי תחזוקה ותיקון, רישומי לוגיסטיקה וקטלוגי חלקים. טענות המבוססות על צילומי מסך בלבד נמצאות באזור מעורפל במכוון, אומר סרג'יו זהריה, PhD, CISO ב-Pentest-Tools.com. "אבל העמימות הזו היא הנקודה", הוא אומר. IO"אוורסט לא צריכה להוכיח באופן סופי את ההפרה כדי ליצור לחץ. היא רק רוצה ליצור מספיק ספק כדי שהסיכון התדמיתי והחוזי של חוסר פעולה יעלה על עלות ההתקשרות. זהו מנגנון סחיטה מבוסס היטב."
החוקרים ציינו אנומליות בצילומי המסך, כולל התייחסות ל מלזיה איירליינס שלא נראה היה שיש לו קשר ישיר עם אטלס אייר. כאשר אוורסט נטלה מאוחר יותר אחריות על התקיפה נגד צונאמי טיסולושנס, צילומי המסך הראו סוגים דומים של מידע.
זה מעלה שאלות לגיטימיות לגבי האם הנתונים הגיעו בכלל ממערכות של אטלס אייר, או מספק. הנתונים יכלו אפילו להגיע מפלטפורמה משותפת, או "ממקור לא קשור שהקבוצה איגדה לטענה אחת למינוף מקסימלי", מציע זהריה.
שאלת האמינות היא אפוא פחות בינארית ממה שהיא נראית, אומר זהריה. "צילומי המסך אולי לא מוכיחים פריצה למערכות הליבה של אטלס אייר. אבל הם כמעט בוודאות מוכיחים שמישהו, איפשהו בשרשרת האספקה, היה נגיש למסמכים מסוג זה באופן שאפשר גניבה."
הטענות בנוגע לאטלס אייר ולקבוצת תוכנות הכופר של אוורסט ממחישות דפוס חוזר בסחיטה קיברנטית מודרנית: גורמי איום מפרסמים צילומי מסך והצהרות מודגשות, בעוד שהארגון הנבדק מכחיש פשרה, אומרת טרייסי האנן-ג'ונס, מנהלת ייעוץ אבטחת מידע ב-UBDS Digital.
במגזרים המקושרים זה בזה מאוד, כמו תעופה וחלל ומטענים אוויריים, ההשפעה במורד הזרם של אירועים "לא מוכחים" אלה עדיין יכולה להיות משמעותית, היא אומרת.
הדלפות הניתנות לאימות בדרך כלל מספקות אותות חזקים יותר. אלה כוללים עצי קבצים, ארכיוני דגימות, קוד גיבוב, חותמות זמן, מזהים פנימיים ייחודיים או אישור עצמאי מצדדים שלישיים שנפגעו, אומרת האנן-ג'ונס. צילומי מסך "לעיתים רחוקות מספקים מספיק כדי לאמת את המקור" ללא טלמטריה פנימית של הקורבן, היא אומרת.
סיכון בעולם האמיתי
לכן, למרות שאין הוכחה חד משמעית לכך שהתרחשה הפרה, הטענות עדיין יוצרות סיכונים בעולם האמיתי.
הכחשת פריצה לא מבטלת את הסיכון, אלא רק משנה את אופיו, אומרת דנה סימברקוף, מנהלת סיכונים, פרטיות ואבטחת מידע ראשית ב-AvePoint. "ברגע שגורם איום אמין מעלה טענה פומבית, ארגונים מתמודדים עם השלכות תפעוליות, רגולטוריות ותדמיתיות - בין אם היא מבוססת ובין אם לאו."
הכחשה אינה זהה להבטחה, מוסיף רוב דמיין, מנכ"ל e2e-assure. "ההצהרה של אטלס אייר כי מערכותיה לא נפגעו מתייחסת רק לסביבה שלה עצמה", הוא מציין. "היא אינה מאשרת או מפריכה האם נתונים הקשורים לארגון עשויים להתקיים במקום אחר בשרשרת האספקה."
זוהי בעיית הליבה של שרשרת האספקה, הוא אומר. "ארגון יכול לשלוט במערכות שלו, אך לאו דווקא במערכות של ספקים שעשויים לאחסן, לעבד או לגשת לנתונים שלו."
מורכבות שרשרת האספקה
עם סביבות נתונים מקושרות בין מפעילים, יצרנים ושותפי הנדסה, מגזר התעופה והחלל מספק דוגמה ברורה לאופן שבו סיכון של צד שלישי יכול להתפשט ברחבי מערכת אקולוגית.
תעופה וחלל היא אחד המגזרים המלמדים ביותר בנוגע לבעיה זו, משום שמורכבות שרשרת האספקה שלה היא "מבנית ובלתי נמנעת", לדברי זהריה. "תוכנית מטוסים אחת כוללת אלפי ספקים מעשרות מדינות, המחוברים באמצעות מערכות ניהול תחזוקה, מאגרי מידע של חלקים, פלטפורמות לוגיסטיקה ומאגרי תיעוד טכני שנבנו ליעילות תפעולית, ולא למען אבטחה. רבים מהקשרים הללו נושאים אמון מרומז שמעולם לא אושר במפורש."
הבעיה הנובעת מכך היא אטימות בשרשרת האספקה, לדברי סטיו פרקין, מנהל טכנולוגיות ראשי ב-Assured Data Protection. "ניהול סיכונים מסורתי של צד שלישי - שאלונים, סקירות שנתיות, הבטחות חוזיות - פשוט אינו בנוי עבור מערכות אקולוגיות מקושרות מאוד עם שכבות תלות מרובות ופלטפורמות משותפות."
כאשר קורה משהו כמו תקרית האטלס, ארגונים נתקלים בבעיה של הוכחת טענה שלילית. "אי אפשר להוכיח בקלות שלא ניגשו לנתונים, במיוחד אם ייתכן שהחשיפה התרחשה דרך שותף", אומר פרקין. "הפער בין מה שידוע באופן פנימי לבין מה שניתן להודיע בביטחון כלפי חוץ הוא המקום שבו הסיכון עולה בקצב המהיר ביותר".
ציפיות רגולטוריות מתפתחות
הנושא מתרחש על רקע ביקורת רגולטורית גוברת סביב אבטחה, חוסן ואחריותיות של שרשרת האספקה. מערכות רשת ומידע 2 (2 שקלים), ה- חוק החוסן המבצעי הדיגיטלי (DORA) וגל התקנות המתפתח בנוגע לתשתיות קריטיות ברחבי האיחוד האירופי דוחפים את האחריות על אבטחת שרשרת האספקה, מהספק ועד למפעיל.
"תחת NIS2, גופים חיוניים וחשובים נושאים באחריות לניהול סיכוני אבטחת סייבר בשרשראות האספקה שלהם, לא רק במערכת שלהם", אומר זהריה מ-Pentest-Tools.com. "זהו שינוי משמעותי ממסגרות שהתייחסו לאבטחת שרשרת האספקה כאל שיטת עבודה מומלצת, למסגרות שמתייחסות אליה כאל חובת ציות עם השלכות אכיפה."
ככל שאחריותיות משתרעת מעבר לגבולות הארגון עצמו, חברות צריכות גם להוכיח שיש להן אמצעים יעילים. "הציפיות עוברות מ'הראו לי את המדיניות' ל'הראו לי כיצד סיכונים מזוהים, מנוטרים ומנוהלים באופן רציף'", אומר סימברקוף מ-AvePoint.
מצב זה מפעיל לחץ על ארגונים להדגים מודל עבודה ודוגמאות של ממשל, קבלת החלטות ופעולות תגובה - במיוחד כאשר אירועים כוללים צדדים שלישיים או תרחישי פריצה מעורפלים.
צעדים מעשיים
איום שרשרת האספקה הוא ממשי, במיוחד כאשר טענות אינן מוכחות. כדי להתמודד עם בעיה זו, מומחים ממליצים לארגונים לעבור מעבר למודלים סטטיים של אבטחת ספקים לכיוון פיקוח רציף מבוסס מערכת המספק נראות על פני זרימת נתונים, תלויות ותגובה לאירועים.
מבחינה מעשית, פירוש הדבר הוא התמקדות בנראות ובאינטגרציה במקום בבקרות מבודדות, לדברי סימברקוף. היא ממליצה למפות את זרימת הנתונים, להבין היכן נמצא מידע רגיש ולהתאים את הספקים לציפיות אבטחה ותגובה משותפות.
בהקשר של אטלס אייר, הבנת אילו גורמים חיצוניים הייתה בעלת גישה לגיטימית לתיעוד התחזוקה של בואינג ודרך אילו מערכות תהיה "נקודת המוצא לכל תגובה משמעותית לטענת האוורסט", אומר זהריה.
זהריה מוסיפה שזה גם חיוני לאמת את תוכנית התגובה לאירועים ספציפית מול תרחיש של פגיעה בשרשרת האספקה. "לרוב הארגונים יש תוכניות לפריצות למערכות שלהם. הרבה פחות בדקו את תגובתם לתרחיש שבו הפריצה היא אצל ספק, והנתונים המדוברים עשויים להיות שלהם או לא, והראיות הפורנזיות אינן שלמות."
מערכות ניהול משולבות, מותאמות למסגרת, כגון אלו שנבנו סביב ISO 27001, גם עוזרים. הם מספקים "שפה ומבנה משותפים לניהול סיכונים במערכות אקולוגיות מורכבות", לדברי סימברקוף. "תקנים כמו ISO 27001 אינם עוסקים בתאימות למען עצמה. הם מאפשרים לצוותים ליישם ולאפשר נראות, הבטחה ואחריות מתמשכת."
"זה מספק תהליך שניתן להדגים כדי שתוכלו לומר את מה שאתם עושים, ולהוכיח זאת", היא אומרת. "בסביבות שבהן סיכון שרשרת האספקה הוא בלתי נמנע, מסגרות אלו עוזרות לארגונים לעבור מניהול ריאקטיבי לממשל פרואקטיבי, דבר חיוני כשמתמודדים עם עמימות, טענות של צד שלישי ומודלים מתפתחים של איומים."
הרחב את הידע שלך
בלוג: לשלם את הכופר או לא? שיקולי הממשלה בנוגע למימון דרך לצאת מפשעי סייבר
בלוג: שרשראות אספקה מורכבות, אטומות ולא בטוחות: הרגולטורים דורשים שיפור
