Qantasin tietomurto: Miksi toimittajien valvonnan on oltava vaatimustenmukaisuuden prioriteetti

Hiljattain tapahtunut Qantasin tietomurto, jossa 5.7 miljoonan asiakkaan henkilötiedot vaarantuivat, on korostanut jatkuvaa kyberturvallisuusriskiä, ​​jonka kolmannen osapuolen palveluntarjoajat aiheuttavat yrityksille. Kesäkuussa sattuneessa tapauksessa paljastui tietoja, kuten nimiä, syntymäaikoja, puhelinnumeroita, sähköpostiosoitteita ja tietoja asiakkaiden Qantasin kanta-asiakasohjelmien tileiltä. Taloudelliset tiedot, passitiedot ja salasanat eivät kuitenkaan muuttuneet.

Mutta sen sijaan, että tietomurron takana olevat tekijät olisivat murtautuneet australialaisen lentoyhtiön sisäisiin IT-järjestelmiin, he varastivat tiedot huijaamalla kolmannen osapuolen, ulkomaisen yhteyskeskuksen luulemaan, että he olivat Qantasin työntekijöitä, joiden oli nollattava monivaiheisen todennuksen tiedot. Kun nämä tärkeät turvallisuustiedot oli muutettu, hakkerit saivat luvattoman pääsyn ulkoistettuun pilvialustaan, joka sisälsi Qantasin asiakastietokantoja.

Uskotaan, että tietomurron takana oli kyberrikollisryhmä Scattered Spider, jonka hakkerit ovat hajaantuneet ympäri Yhdysvaltoja ja Isoa-Britanniaa. FBI on sittemmin varoitti että ryhmä tekee yhä enemmän sosiaalisen manipuloinnin hyökkäyksiä globaaleja lentoyhtiöitä vastaan. Tämä tapahtuu samaan aikaan, kun kybervakuutusyhtiö Cowbellin tutkimus osoittaa, että ohjelmistojen toimitusketjuhyökkäykset ovat kasvoi 431 % viimeisten neljän vuoden aikana. Mitä yritykset voivat tämän mielessä pitäen tehdä turvatakseen toimitusketjunsa ja estääkseen Qantasin tietomurron kaltaiset vaaratilanteet?

Tärkeitä oppitunteja

Yksi Qantasin kybermurron suurimmista opetuksista on se, että vaikka monivaiheinen todennus on suunniteltu toimimaan lisäkerroksena suojauksessa, joka vaikeuttaa kyberrikollisten pääsyä tileille, se ei ole täysin läpäisemätön. Näin sanoo Jake Moore, virustorjuntaohjelmistoja valmistavan ESETin globaali kyberturvallisuusneuvonantaja, jonka mukaan pahantahtoiset ihmiset pystyvät hakkeroimaan "jopa parhaat puolustusjärjestelmät".

Toinen Mooren oppi on, että yritysten tulisi ymmärtää toimitusketjujensa "väistämättömät heikkoudet", joita hakkereiden on helppo hyödyntää, kuten yksinkertaisesti esiintymällä aitoina työntekijöinä, ja jotka voivat "vievät jälkeensä paljon tappiota".

Tätä näkemystä tukee Vijay Dilwale, sovellustietoturvaohjelmistoja toimittavan Black Duckin pääkonsultti. Hän väittää, että vaikka yrityksillä olisi käytössään vankat kybersuojaukset, ne ovat käytännössä hyödyttömiä, jos toimittajat, joihin yritykset ovat riippuvaisia, eivät kiinnitä samaa huomiota kyberturvallisuuteen. Hän kertoo ISMS.online-sivustolle: ”Qantasin ydinjärjestelmiin ei murtauduttu, mutta miljoonat tiedot päätyivät silti vääriin käsiin kolmannen osapuolen palveluntarjoajan puutteen vuoksi.”

Dilwalen mukaan henkilötietojen tällaisella rikkomuksella voi olla vakavia seurauksia yrityksille. Näitä ovat asiakkaiden luottamuksen heikkeneminen, sakot ja uutisartikkelit, joissa syytetään sekä yritystä että toimittajaa, vaikka ensin mainittu ei olisikaan syyllinen. Hän lisää: ”Nykymaailmassa perinteinen suoja ei oikeastaan ​​ole olemassa. Jokainen toimittaja, jokainen ulkoistaja ja jokainen SaaS-alusta ovat osa hyökkäyspintaa.”

Vaatimustenmukaisuusvaikutukset

Koska parannetut kyberturvallisuuden suojaukset, kuten monitoiminen autentikointi (MFA), eivät yksinään riitä suojaamaan organisaatioita tuhoisilta tietovuodoilta toimitusketjuhyökkäysten lisääntyessä, organisaatioiden on selvästi tehtävä enemmän.

Black Duckin Dilwalen mukaan tämä tarkoittaa toimittajien riskienarviointia jatkuvana toimenpiteenä eikä yksittäisenä rastitettavana toimenpiteenä uusien toimittajien perehdyttämisessä. Kolmannen osapuolen palveluntarjoajien huolellisen tarkastelun lisäksi organisaatioiden on jatkuvasti seurattava toimittajien aiheuttamia kyberriskejä ja määrättävä virallisissa sopimuksissa, että toimittajat suhtautuvat kyberturvallisuuteen vakavasti. Näissä sopimuksissa organisaatioiden tulisi saada toimittajat suostumaan kyberturvallisuustarkastuksiin ja häiriöilmoituksiin.

Mutta nämä toimet eivät ole vain kasvojen suojaamista – ne ovat myös sääntelyyn perustuva velvoite. Dilwale selittää, että Australiassa Australian yksityisyyden suojan periaatteet velvoittavat yritykset ilmoittamaan kaikenlaisista kybermurroista. Samaan aikaan alan standardit, kuten ISO 27001, korostavat toimitusketjun riskienhallinnan merkitystä. Hän lisää: "Viesti on selvä: toimittajien valvonta ei ole enää valinnaista."

Näiden riskien hallinnan osalta Dilwale suosittelee, että organisaatiot ottavat käyttöön tietoturvallisuuden hallintajärjestelmän (ISMS), koska sen avulla ne voivat seurata ja tunnistaa toimitusketjun haavoittuvuuksia toimittajasuhteen jokaisessa vaiheessa aina perehdytyksestä poistumiseen.

”Voit varmistaa, että auditointeja ei vain aikatauluteta, vaan niiden jälkeen toteutetaan korjaavia toimenpiteitä. Voit rakentaa kokonaiskuvan laajennetusta toimitusketjustasi, joten et missaa neljännen osapuolen yhteyksiä”, hän sanoo. ”Ja voit sisällyttää toimittajia tapauskohtaisiin reagointiharjoituksiin, jotta tiedätte jo yhdessä, miten reagoidaan, kun jokin menee pieleen.”

Tietoturvajärjestelmän käytön lisäksi Michael Tigges, yritystietoturva-alustan vanhempi tietoturvaoperaatioiden analyytikko Huntresskehottaa organisaatioita kehittämään erityisiä puitteita käyttäen standardeja, kuten ISO 27001, valvomaan ja auditoimaan toimittajiaan säännöllisesti osana ”selkeitä” palvelutasosopimuksia, olemaan avoimia tiedonsiirron suhteen ja investoimaan havaitsemis- ja reagointijärjestelmiin.

Muut vaiheet

Tigges of Huntressin mukaan toimittajien terveystarkastukset ovat toinen ratkaiseva askel toimitusketjun turvallisuusriskien poistamisessa. Niiden tulisi kattaa muun muassa riittävät käyttöoikeuksien valvonnat, monivaiheisen todennuksen, tapahtumalokit ja tapahtumasimulaatiot.

Osana näitä toimia hän kannustaa yrityksiä suorittamaan pöytätietokoneella tehtäviä kyberturvallisuusharjoituksia, joissa ne käyvät läpi realistisen kyberhyökkäyksen ja arvioivat tiiminsä reaktioita tietoturva-aukkojen tunnistamiseksi ja korjaamiseksi. Näihin voidaan ottaa mukaan myös kolmannen osapuolen toimittajia.

Tigges korostaa myös tehokkaan sidosryhmien hallinnan tärkeyttä. Hän kertoo ISMS.online-sivustolle: ”Aloita käymällä realistisia keskusteluja; mitä toivomme saavuttavamme tässä, mitä riskejä voimme sietää ja miten voimme vahvistaa puolustustamme muilla tavoilla lieventääksemme tätä riskiä?”

Ross Brewer, lokienhallinta- ja tietoturva-analytiikkayritys Graylogin EMEA-alueen varatoimitusjohtaja, on samaa mieltä siitä, että organisaatioiden tulisi ottaa toimitusketjun riskit huomioon kyberturvallisuusharjoituksissaan. Näin he voivat testata organisaationsa sisäisiä havaitsemis-, eskalointi- ja reagointimenettelyjä.

Katse tulevaisuuteen

Koska toimitusketjuihin kohdistuvat kyberhyökkäykset eivät osoita hidastumisen merkkejä, ESETin Moore uskoo, että organisaatioilla ei ole muuta vaihtoehtoa kuin tehdä toimittajien tietoturva-arvioinneista olennainen osa hallintotapaansa tulevaisuudessa. Tämä tarkoittaa, että kolmannen osapuolen toimittajia kohdellaan "organisaation jatkeena" ja heillä on "sama vastuu" selviytymisen varmistamiseksi nopeasti kehittyvässä sääntelyympäristössä.

Koska niin monet yritykset ulkoistavat nykyään organisaatioidensa eri osia kolmannen osapuolen toimittajille, Black Duckin Dilwale sanoo, että heidän on suhtauduttava toimittajien turvallisuustilanteeseen yhtä tärkeänä kuin omaan. Hän jatkaa: ”Toimitusketjun turvallisuutta ei voida kiinnittää jälkikäteen; se on integroitava hallintoon, sillä vastuuvelvollisuus ja vaatimustenmukaisuus ovat liiketoiminnan keskeisiä vaatimuksia.”

Hunttressin Tigges sanoo, että pitkällä aikavälillä yritysten ja niiden toimittajien on oltava "läpinäkyviä ja yhtenäisiä" kyberturvallisuus- ja tiedonhallintakäytännöissään jaettavien tietojen arkaluonteisuuden vuoksi. Hän päättelee: "Organisaation maine ja yksilötiedot ovat vaakalaudalla, ja kaikki näitä tietoja käsittelevät henkilöt ovat sidosryhmiä tässä prosessissa."

Vaikka Qantasin kyberhyökkäys ei johtunut australialaisen lentoyhtiön kyberturvallisuushuolimattomuudesta, tapaus olisi voitu estää, jos lentoyhtiöllä olisi ollut käytössä vahvemmat toimitusketjun turvallisuuskäytännöt. Muille organisaatioille se tarjoaa arvokkaan opetuksen: toimittajien turvallisuus on aivan yhtä tärkeää kuin oma turvallisuus. Tätä tulisi vahvistaa kattavissa toimittajasopimuksissa, säännöllisissä toimitusketjun terveystarkastuksissa ja kyberturvallisuusharjoituksissa, joissa otetaan huomioon toimitusketjun turvallisuusriskit.