Onko ESG-data Ransomware-toimijoiden seuraava kohde?

Kuten kuuluisa sammakko sanoi kerran, ei ole helppoa olla vihreä. Tammikuun lopulla, raportit ilmestyivät Schneider Electricin Sustainability Business -divisioonaa vastaan ​​tehdystä kiristysohjelmahyökkäyksestä, joka herättää kysymyksen: kuinka arvokas kohde on yritysten kestävän kehityksen tiedot? Kun organisaatiot ottavat tosissaan käyttöön ympäristö-, sosiaali- ja hallintostrategioita (ESG), niiden on ehkä tehtävä enemmän pitääkseen nämä tiedot lukittuina.

Mitä Schneider Electricissä tapahtui?

Cactus ransomware -ryhmä väitti omistavansa 1.5 Tt yrityksen tietoja ja uhkasi julkaista ne julkisesti, jos ranskalainen monikansallinen yritys ei maksa. Kuukautta myöhemmin se julkaistu 25 Mt dataa ajaakseen uhan kotiin. Vielä ei tiedetä, onko Schneider Electric maksanut lunnaita tiedoista tai salannutko Cactus tiedot samalla, kun se varasti ne, mikä on sen yleinen toimintatapa.

Schneider Electric on kärsinyt lunnasohjelmahyökkäyksestä aiemmin; Clop-jengi sai pääsyn joihinkin tietoihinsa toukokuussa 2023 osana hyökkäystä Progress Softwaren MOVEit-tiedostonsiirtopalveluun, joka imuroi tuhansien yritysten tietoja.

Tällä kertaa hyökkäys keskittyi yhteen tiettyyn divisioonaan. Sustainability Business -divisioona on Schneider Electricin toimiala, joka keskittyy suhteellisen uudelle markkina-alueelle: kestävän kehityksen tietojen keräämiseen ja raportointiin.

Kasvava tarve ESG-datalle

Kestävän kehityksen tiedot edustavat "E" ESG:ssä, kasvavassa liikkeessä, jonka tavoitteena on saada yritykset vastuullisemmaksi vaikutuksistaan ​​planeettaan ja yhteiskuntaan. Kestävän kehityksen puolella käsitellään mittareita, mukaan lukien kulutus (resurssien, kuten energian ja veden) sekä päästöt (tyypillisesti kasvihuonekaasut).

Nämä tiedot ovat hyödyllisiä sijoittajille, jotka arvostavat yhä enemmän yrityksiä ESG-suorituskyvystään. Sijoitusrahastoyhtiö Capital Group löydetty Yhdeksän kymmenestä sijoitusammattilaisesta maailmanlaajuisesti harkitsee ESG:tä strategioissaan ja 10 % uskoo, että se voi paljastaa houkuttelevia sijoitusmahdollisuuksia. Kuitenkin 57 % heistä sanoo, että näitä tietoja on vaikeampi saada. Mitä enemmän sijoittajilla on sitä, sitä mukavampaa he tuntevat sijoittavansa rahaa näihin yrityksiin

.Muut paineet saavat yritykset keskittymään kestävän kehityksen raportointiin. EU:ssa, Yritysten kestävän kehityksen raportointidirektiivi (CSRD) panee täytäntöön Eurooppalaiset kestävän kehityksen raportointistandardit (ESRS), soveltamalla yksityiskohtaisempaa kestävän kehityksen raportointia EU:n yrityksistä tai blokissa toimivista yrityksistä.

Seuraa rahaa, jotta ymmärrät näitä aloitteita tukevan kestävän kehityksen datan arvon. Big Four harjoittaa aktiivisesti datalähtöistä kestävän kehityksen liiketoimintaa. Deloitte investoineet 1 miljardi dollaria sen kestävän kehityksen ja ilmaston käytäntöön huhtikuussa 2022 ja tarjoaa kestävän kehityksen analytiikkapalvelu käytäntö, joka auttaa asiakkaita seuraamaan resurssien käyttöä sekä sisäisesti että toimitusketjuissaan. EY, KPMG ja PwC tarjoavat palveluita kestävän kehityksen strategian luomiseksi ja sitten toimintatietojen integroimiseksi sen tukemiseksi.

Laajeneva hyökkäyspinta

Näiden tietojen kerääminen ja raportoiminen aiheuttaa yrityksille useita riskejä:

Tietojen syvyys ja leveys

Yritykset keräävät omilta toimitiloiltaan monenlaisia ​​käyttötietoja yksittäisten koneiden tehonkulutuksesta jätteentuotantoon, polttoainemääriin ja kalustomääriin.

Jotkut, kuten PwC, puolestapuhuja tietojärviä, joissa on sekoitus toiminnallista, biologista monimuotoisuutta ja turvallisuutta koskevia tietoja. Nämä yhdistetään muihin datajärviin, jotka sisältävät asiakas- ja markkinatietoja sekä ERP-järjestelmien tietoja, IoT-antureita ja jopa HR-tietoja. Sen mukaan kaikki tämä tieto virtaa kestävän kehityksen raportointityökalujen kautta.

Tietojen laajuus

Toinen uhka on kerättyjen tietojen laajuus, joka ulottuu organisaation omistamien toimintojen lisäksi myös toimittajien tietoihin. PwC:n kestävän kehityksen tietojen malli sisältää kolmansien osapuolien tietoja muilta yrityksen toimitusketjussa.

Hyökkäys Schneider Electriciä vastaan ​​vaaransi sen EcoStruxure Resource Advisor -alustan. Se on pilvipohjainen järjestelmä, joka kerää ja analysoi tietoja tilojen toiminnasta ja toimitusketjuista. Näin asiakkaat voivat seurata ja ennustaa energiankulutusta sekä laatia päästöraportteja. Sen mainosmateriaalissa todetaan ylpeänä, että se ei ainoastaan ​​hanki asiakkaidensa omia tietosyötteitä, vaan myös tietoja kolmansilta osapuolilta.

Tietojen keskittäminen

Schneider Electricin kaltaiset yritykset tavoittelevat voittoa kestävän kehityksen tietopalveluista ottamalla näiden tietojen keräämisen ja analysoinnin pois asiakkaiden käsistä. Tämä tekee näistä kestävän kehityksen tietopalveluntarjoajista houkuttelevan kohteen kyberrikollisille, jotka haluavat kerätä suuria määriä tätä arvokasta asiakastietoa. Schneider Electricin kestävän kehityksen yksikön asiakkaina oli useita arvokkaita yrityksiä, kuten Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo ja Walmart.

Kuinka pysyä turvassa pyrkiessäsi kestävään kehitykseen

Ei ole selvää, oliko Schneider Electricin hyökkäys kohteena vai vain opportunististen varkaiden onnekas onnettomuus, mutta joka tapauksessa nämä arkaluontoiset tiedot ovat selvästi arvokas kohde. Mitä yritykset voivat tehdä suojellakseen itseään?

Toimittajien tehokkaiden tietoturvakäytäntöjen arvioiminen on avainasemassa, mukaan lukien heidän kyberturvallisuuden valvontasertifikaattien arvioiminen. Nämä sertifikaatit eivät kuitenkaan takaa 100 % turvallisuutta. Muut toimenpiteet voivat vähentää tietovarkauksien todennäköisyyttä.

Vahvan tietovaraston ylläpitäminen on tärkeää – pitää kirjaa kaikista jaetuista tiedoista ja dokumentoida selkeästi, millaisia ​​arkaluonteisia tietoja kolmannen osapuolen palveluntarjoaja voi käyttää. Hyvä turvallisuuskäytäntö on myös protokollien luominen pääsyriskin hallitsemiseksi sekä ulkopuolisten palveluntarjoajien toimesta että sisäisesti.

Olipa kyseessä kolmannen osapuolen palveluntarjoajan kanssa tekeminen tai kaikkien tietojen kerääminen ja säilyttäminen sisäisesti, suojaus kiristysohjelmia vastaan ​​on ratkaisevan tärkeää. Tämä tarkoittaa ohjaimien käyttöönottoa, kuten peruspäätepisteiden havaitsemista ja ehkäisyä hallittuun havaitsemiseen ja vasteeseen (MDR). Peruskyberhygienia, mukaan lukien oikea-aikaiset tietoturvapäivitykset ja loppukäyttäjien koulutus, ovat myös hyödyllisiä puolustuslinjoja.

ESG-tiedoista on tulossa yhä houkuttelevampi resurssi verkkorikollisille, nappaavatko he sen umpimähkäisesti verkkoinsa tai etsivät niitä tarkoituksella. Tehokkaat, hyvin dokumentoidut kyberturvallisuustoimenpiteet auttavat suojelemaan tätä uutta kruununjalokiveä.