Valmistajat ovat olleet suosituin kohde maailmanlaajuisille kyberhyökkäyksille viimeisten neljän vuoden aikana. Sektori oli myös ykkönen kiristyshaittaohjelmien osalta vuonna 2024, ... IBM-tiedotKun Jaguar Land Rover (JLR) raportoi joutuneensa digitaalisen kiristyksen kohteeksi syyskuun alussa, se ei tullut suurena yllätyksenä. Se kuitenkin muistutti ajankohtaisesti tällaisten hyökkäysten mahdollisesti kriittisestä vaikutuksesta liiketoiminnan jatkuvuuteen.
Tietoturvatiimien tulisi käyttää tätä tilaisuutena ja perustella hallitukselle kyberturvallisuuden parantamiseen tehtävien investointien lisäämistä.
Lasku jatkuu
Iso-Britanniaa on ravistellut tänä vuonna sarja kyberkiristyshyökkäyksiä. Ne kaikki näyttävät olevan peräisin löyhästä englantia puhuvien uhkatoimijoiden ryhmästä, jota kuvataan nimellä Scattered Spider, Shiny Hunters ja nyt Scattered Lapsus$ Hunters. Ensin tuli iskut vähittäiskauppiaita, kuten M&S ja Co-op, vastaan. Sitten tuli toimitusketjukampanja, joka kohdistettiin Salesforce-instansseihin. Ja sitten joukko siihen liittyviä hyökkäyksiä Salesforce-asiakkaisiin, jotka kohdistettiin heidän Salesloft Drift -integraatioonsa. Ryhmä on nyt... kuulemma kerskuen Telegram-kanavallaan JLR:n hakkeroinnista.
Tarkalleen ottaen ei ole vahvistettu, miten tämä tehtiin, vaikka joissakin raporteissa mainitaan SAP NetWeaver -haavoittuvuuden hyödyntäminen. SAP korjasi ohjelmistossa olleen kriittisen virheen huhtikuussa, ja tiedetään olleen käytössä kiristyshaittaohjelmaryhmien toimesta, ja hyväksikäyttökoodi on julkisesti saatavilla. Taktiikoista, tekniikoista ja menettelyistä (TTP) huolimatta tiedämme kuitenkin tarkalleen, mitkä ovat JLR:n panokset.
Yhtiö myönsi alusta alkaen, että sen "vähittäismyynti- ja tuotantotoiminta on häiriintynyt vakavasti". Viikkoa myöhemmin JLR paljasti: "jotkut tiedot ovat kärsineet, ja ilmoitamme asiasta asianomaisille sääntelyviranomaisille." Yrityksen Solihullin, Halewoodin, Wolverhamptonin ja Ison-Britannian ulkopuolisten toimipisteiden henkilöstö ei vieläkään pysty työskentelemään. se on arvioitu että seuraukset voivat maksaa JLR:lle jopa 5 miljoonaa puntaa päivässä menetettyjä voittoja.
Puhumattakaan vaikutuksista laajaan toimitusketjuun, joka on elantonsa osalta riippuvainen JLR:stä. Ammattiliitot ovat kutsuneet hallituksen tuen saamiseksi sen jälkeen raportit että jotkut toimittajat ovat konkurssin partaalla. Heidän tyrmistystään lisää se, että syyskuu on yksi vuoden kiireisimmistä kuukausista autonvalmistajille ja heidän yhteistyökumppaneilleen, koska se osuu samaan aikaan uusien rekisterikilpien julkaisun kanssa. JLR on lykännyt laitostensa avaamista useita kertoja. Kirjoitushetkellä viimeisin tuotantotauko jatkaisi katkosta 1. lokakuuta asti.
Mitä resilienssi tarkoittaa
Kaiken tämän tulisi korostaa joitakin tärkeitä opetuksia siitä, että organisaatioiden on keskityttävä kyberresilienssensä parantamiseen. Mitä resilienssi on? NIST:n mukaan se on kyky "ennakoida, kestää, toipua ja sopeutua" kyberhyökkäyksiin. Tämä tarkoittaa parhaiden käytäntöjen käyttöönottoa sen varmistamiseksi, että uhkatoimijoilla on vähemmän mahdollisuuksia päästä käsiksi kriittisiin verkkoihin ja resursseihin. Mutta myös, että organisaatio pystyy toipumaan nopeasti ja jatkamaan toimintaansa normaalisti, vaikka se kärsisi tietomurrosta.
ThingsReconin tietoturvajohtaja Tim Grieveson väittää, että tämän saavuttamiseksi tietoturvajohtajien on ensin ymmärrettävä organisaationsa keskeiset liiketoimintatoiminnot ja niihin liittyvät järjestelmät. Tämä antaa heille mahdollisuuden priorisoida investointeja liiketoimintavaikutusten perusteella.
”Sen sijaan, että puhuisivat teknisestä ammattikielestä, kuten ’haavoittuvuuspisteistä’, tietoturvajohtajien tulisi kääntää kyberriski taloudellisiksi termeiksi, jotka resonoivat hallituksen ja ylimmän johdon kanssa. Tämä voi tarkoittaa seisokkien, tietojen menetyksen tai viranomaissakkojen mahdollisten kustannusten esittämistä”, Grieveson kertoo ISMS.online-sivustolle.
”Tietoturvajohtajan strategian on myös perustuttava oletukseen, että tietomurto ei ole kysymys siitä, 'jos', vaan siitä, 'milloin'. Tämä siirtää painopisteen läpäisemättömän muurin rakentamisesta sellaisen järjestelmän rakentamiseen, joka pystyy vaimentamaan, kestämään ja toipumaan hyökkäyksestä nopeasti.”
Tietoturvajohtajien on myös ymmärrettävä jatkuvan työntekijöiden koulutuksen ja opastuksen merkitys turvallisuustietoisen kulttuurin rakentamiseksi. ”Tämä tekee jokaisesta työntekijästä osan turvallisuuspuolustusta ja opettaa heitä tunnistamaan ja ilmoittamaan potentiaalisia uhkia, kuten tietojenkalasteluyrityksiä”, hän sanoo.
Parhaimmastakin koulutuksesta huolimatta tietomurtoja kuitenkin tapahtuu. Tässä kohtaa testaus ennalta määrättyjä skenaarioita vastaan astuu kuvaan, sanoo Closed Door Securityn toimitusjohtaja William Wright.
”Mikä on pahin mahdollinen tilanne? Jos tällainen tilanne syntyy, voiko organisaatio toipua siitä? Jos ei, mitä puutteita on ja miten niitä voidaan lieventää? Tämän arvioinnin tulisi kattaa kaikki sisäiset ja ulkoiset resurssit. Esimerkiksi miten toimittajiin kohdistuvat tietomurrot voivat vaikuttaa toimintaani? Kaikki hyökkäykset eivät ole suoria”, hän kertoo ISMS.online-sivustolle.
”Näissä ympäristöissä, mahdollisuuksien mukaan, kaikissa hyökkäysskenaarioissa on valmis ja harjoiteltu toimintasuunnitelma riskien lieventämiseksi, ja aina on olemassa varajärjestelmiä hyökkäysten operatiivisten vaikutusten rajoittamiseksi.”
Grievesonin mukaan nollaluottamus voi olla myös hyödyllinen ajattelutapa resilienssin rakentamisessa.
”Zero Trust -lähestymistapa olettaa, että verkko on jo vaarantunut, ja vaatii jokaisen käyttäjän, laitteen ja sovelluksen varmentamisen ennen käyttöoikeuden myöntämistä”, hän selittää. ”Tämä on erityisen tärkeää valmistajille, jotka usein luottavat vanhojen operatiivisten teknologioiden ja uudempien IT-järjestelmien yhdistelmään.”
Standardit voivat auttaa
Grieveson lisää, että parhaiden käytäntöjen standardit, kuten ISO 27001 ja SOC2, voivat myös auttaa rakentamaan sietokykyä luomalla jäsennellyn kehyksen tietoturvan hallintaan.
”Ne tarjoavat konkreettisia odotuksia siitä, miltä hyvä näyttää, ja joka ulottuu pelkän hyökkäysten estämisen ulkopuolelle”, hän päättelee.
”Sen sijaan, että turvallisuutta ajateltaisiin reaktiivisena, rasti ruutuun tehtävänä, se kannustaa yrityksiä omaksumaan ennakoivan ja liiketoimintalähtöisen lähestymistavan, johon sisältyy hyökkäysten estämiseen tarvittava hallinto, prosessit ja kontrollit. Ja sen varmistamiseen, että yritys voi selviytyä ja toipua nopeasti, kun väistämätön tietomurto tapahtuu.”
