Kiristysohjelmaryhmä Everestin väitteet murtautumisesta Atlas Airiin ja sen toimittajaan Tsunami Tsolutionsiin osoittavat, kuinka nykyaikaiset kiristysohjelmahyökkäykset hyödyntävät toimitusketjujen monimutkaisuutta riskien luomiseksi – jopa silloin, kun tietomurtoja ei ole vahvistettu.
Kate O'Flaherty
Helmikuussa Everest-kiristysohjelmaryhmä väitti imeneensä 1.2 teratavua dataa rahtilentoyhtiö Atlas Airilta. Kiristysohjelmakartellin pimeän verkon keskustelufoorumilla julkaisemien väitteiden tueksi esitettiin kuvakaappauksia väitetysti varastetuista tiedoista, mukaan lukien Boeingin lentokoneiden tekniset tiedot.
Päiviä myöhemmin hakkerit väittivät murtautuneensa myös yhdysvaltalaisen ilmailutekniikan tuki- ja tietoratkaisujen tarjoajan Tsunami Tsolutionsin tietoihin viitaten pienempään tietojoukkoon ilmeisesti koordinoidussa toimitusketjuhyökkäyksessä.
Atlas Air kiisti tietomurron ja Tsunami Tsolutions ei vastannut Everestin väitteisiin, mutta tapaukset osoittavat, miten nykyaikaiset kiristysohjelmahyökkäykset hyödyntävät toimitusketjun monimutkaisuus ja epäselvyydet voivat aiheuttaa riskin – jopa silloin, kun tietomurtoja ei ole vahvistettu.
Kuinka organisaatiot voivat vahvistaa selviytymiskykyä ja puolustuskykyä epävarmojen, nopeasti muuttuvien uhkakuvien edessä, jotka ulottuvat niiden suoran kontrollin ulkopuolelle?
Kuvakaappausongelmat
Everest väitti, että sillä oli todisteita Atlas Airin vuodosta, mutta sen toimittamat asiakirjat olisi voitu helposti väärentää. Sen sijaan, että vapauttamalla täydellisiä datanäytteitä, ryhmä julkaisi kuvakaappauksia siitä, mitä se kuvaili huolto- ja korjausasiakirjoiksi, logistiikkarekistereiksi ja osaluetteloiksi. Pelkkiä kuvakaappauksia koskevat väitteet ovat tarkoituksella epäselviä, sanoo Sergiu Zaharia, PhD, tietoturvajohtaja Pentest-Tools.comissa. "Mutta juuri tuo epäselvyys on asian ydin", hän kertoo. IO”Everestin ei tarvitse todistaa tietomurtoa lopullisesti painostuksen aikaansaamiseksi. Se haluaa vain luoda riittävästi epäilyksiä siitä, että toimimattomuuden maine- ja sopimusriski on suurempi kuin toimimisen kustannukset. Se on vakiintunut kiristysmekanismi.”
Tutkijat havaitsivat kuvakaappauksissa poikkeavuuksia, mukaan lukien viittauksen Malaysia Airlines jolla ei näyttänyt olevan suoraa yhteyttä Atlas Airiin. Kun Everest myöhemmin ilmoitti iskun tehneen Tsunami Tsolutionsia vastaan, kuvakaappauksissa näkyi samanlaista tietoa.
Tämä herättää oikeutettuja kysymyksiä siitä, ovatko tiedot peräisin Atlas Airin järjestelmistä vai toimittajalta. Zaharian mukaan tiedot ovat voineet tulla jopa jaetulta alustalta tai "toiselta lähteeltä, jonka ryhmä niputti yhdeksi väitteeksi maksimaalisen hyödyn saavuttamiseksi".
Uskottavuuskysymys on siis vähemmän kaksijakoinen kuin miltä se näyttää, Zaharia sanoo. ”Kuvakaappaukset eivät välttämättä todista Atlas Airin ydinjärjestelmiin tehtyä tietomurtoa. Mutta ne lähes varmasti todistavat, että jollakulla toimitusketjussa oli tämän tyyppisiä asiakirjoja saatavilla tavalla, joka mahdollisti niiden vuotamisen.”
Atlas Airia ja Everest-kiristysohjelmaryhmää koskevat väitteet kuvaavat toistuvaa kaavaa nykyaikaisessa kyberkiristyksessä: Uhkatoimijat julkaisevat kuvakaappauksia ja rohkeita lausuntoja, kun taas kohteena oleva organisaatio kiistää tietomurron, sanoo Tracey Hannan-Jones, UBDS Digitalin tietoturvakonsultointijohtaja.
Hyvin kytköksissä olevilla aloilla, kuten ilmailu- ja avaruusliikenteessä sekä lentorahdissa, näiden "todistamattomien" tapausten vaikutukset voivat silti olla merkittäviä, hän sanoo.
Todennettavissa olevat vuodot tarjoavat tyypillisesti vahvempia signaaleja. Näitä ovat tiedostopuut, näytearkistot, tiivisteet, aikaleimat, yksilölliset sisäiset tunnisteet tai riippumattomat vahvistukset asianomaisilta kolmansilta osapuolilta, Hannan-Jones sanoo. Kuvakaappaukset "tarjoavat harvoin riittävästi tietoa alkuperän vahvistamiseksi" ilman uhrin sisäisiä telemetriatietoja, hän sanoo.
Reaalimaailman riski
Vaikka lopullista näyttöä tietomurron tapahtumisesta ei olekaan, väitteet aiheuttavat silti todellisia riskejä.
Tietomurron kiistäminen ei poista riskiä, se vain muuttaa sen luonnetta, sanoo Dana Simberkoff, AvePointin riski-, yksityisyys- ja tietoturvajohtaja. ”Kun uskottava uhkatoimija esittää julkisen väitteen, organisaatiot kohtaavat operatiivisia, sääntelyyn liittyviä ja maineeseen liittyviä seurauksia – riippumatta siitä, onko se perusteltu.”
Kieltäminen ei ole sama asia kuin varmuus, lisää e2e-assuren toimitusjohtaja Rob Demain. ”Atlas Airin lausunto, jonka mukaan sen järjestelmiä ei ole vaarannettu, koskee vain sen omaa ympäristöä”, hän huomauttaa. ”Se ei vahvista eikä kumoa sitä, voiko organisaatioon liittyvää dataa olla olemassa muualla toimitusketjussa.”
Tämä on toimitusketjun ydinongelma, hän sanoo. ”Organisaatio voi vaatia hallintaansa omiin järjestelmiinsä, mutta ei välttämättä toimittajien järjestelmiin, jotka saattavat tallentaa, käsitellä tai käyttää sen tietoja.”
Toimitusketjun monimutkaisuus
Ilmailu- ja avaruusala tarjoaa selkeän esimerkin siitä, miten kolmannen osapuolen riski voi levitä ekosysteemissä, koska operaattoreiden, valmistajien ja suunnittelukumppaneiden dataympäristöt ovat yhteydessä toisiinsa.
Ilmailu- ja avaruusteollisuus on yksi opettavaisimmista toimialoista tässä ongelmassa, koska sen toimitusketjun monimutkaisuus on Zaharian mukaan "rakenteellinen ja väistämätön". "Yksittäinen lentokoneohjelma sisältää tuhansia toimittajia kymmenissä maissa, jotka ovat yhteydessä toisiinsa huollon hallintajärjestelmien, osatietokantojen, logistiikka-alustojen ja teknisten dokumenttien arkistojen kautta, jotka on rakennettu toiminnan tehokkuutta, ei turvallisuutta, varten. Monet näistä yhteyksistä sisältävät implisiittistä luottamusta, jota ei ole koskaan nimenomaisesti validoitu."
Tästä johtuva ongelma on toimitusketjun läpinäkymättömyys, Assured Data Protectionin teknologiajohtaja Stew Parkinin mukaan. ”Perinteinen kolmannen osapuolen riskienhallinta – kyselylomakkeet, vuosittaiset arvioinnit, sopimusvakuutukset – ei yksinkertaisesti ole rakennettu erittäin verkottuneille ekosysteemeille, joissa on useita riippuvuuskerroksia ja jaettuja alustoja.”
Kun Atlas-tapauksen kaltaista tapahtuu, organisaatiot kohtaavat ongelman negatiivisen todistamisessa. ”Et voi helposti osoittaa, ettei tietoihin ole päästy käsiksi, varsinkaan jos altistuminen on saattanut tapahtua kumppanin kautta”, Parkin sanoo. ”Riski kasvaa nopeimmin, koska sisäisesti tiedetään jotain ja ulospäin voidaan luotettavasti viestiä.”
Muuttuvat sääntelyodotukset
Ongelma asetetaan toimitusketjun turvallisuuden, sietokyvyn ja vastuuvelvollisuuden lisääntyvän sääntelyvalvonnan taustalle. Verkko- ja tietojärjestelmät 2 (NIS2) Digitaalisen operatiivisen sietokyvyn laki (DORA) ja EU:ssa yleistyvä kriittisen infrastruktuurin sääntelyn aalto siirtävät toimitusketjun turvallisuuden vastuuta toimittajalta operaattorille.
”NIS2-standardin nojalla olennaiset ja tärkeät toimijat ovat vastuussa kyberturvallisuusriskien hallinnasta toimitusketjuissaan, eivätkä vain omassa järjestelmässään”, sanoo Pentest-Tools.comin Zaharia. ”Tämä on merkittävä muutos viitekehyksistä, jotka käsittelivät toimitusketjun turvallisuutta parhaana käytäntönä, viitekehyksiin, jotka käsittelevät sitä vaatimustenmukaisuusvelvoitteena, jolla on valvontaan liittyviä seurauksia.”
Koska vastuu ulottuu organisaation oman toimintapiirin ulkopuolelle, yritysten on myös osoitettava, että niillä on käytössä tehokkaat toimenpiteet. ”Odotukset ovat muuttumassa ’näytä minulle käytäntö’ ’näytä minulle, miten riski tunnistetaan, seurataan ja hallitaan jatkuvasti’ -periaatteesta”, AvePointin Simberkoff sanoo.
Tämä asettaa organisaatioille paineita osoittaa toimiva malli ja esimerkkejä hallinnosta, päätöksenteosta ja reagointitoimista – erityisesti silloin, kun vaaratilanteisiin liittyy kolmansia osapuolia tai tietomurtoskenaariot ovat epäselviä.
Käytännön vaiheet
Toimitusketjun uhka on todellinen, varsinkin kun väitteitä ei ole todistettu. Tämän ongelman ratkaisemiseksi asiantuntijat suosittelevat, että organisaatiot siirtyvät staattisista toimittajien varmistusmalleista jatkuvaan, järjestelmäpohjaiseen valvontaan, joka tarjoaa näkyvyyden tietovirtoihin, riippuvuuksiin ja häiriötilanteisiin reagointiin.
Käytännössä tämä tarkoittaa keskittymistä näkyvyyteen ja integrointiin yksittäisten kontrollien sijaan, Simberkoff sanoo. Hän suosittelee tietovirtojen kartoittamista, arkaluonteisten tietojen sijainnin ymmärtämistä ja toimittajien yhdenmukaistamista yhteisten turvallisuus- ja reagointiodotusten kanssa.
Atlas Airin yhteydessä sen ymmärtäminen, millä ulkopuolisilla tahoilla oli laillinen pääsy Boeingin huoltodokumentaatioon ja minkä järjestelmien kautta, olisi "lähtökohta kaikelle merkitykselliselle vastaukselle Everest-väitteeseen", Zaharia sanoo.
Zaharia lisää, että on myös tärkeää validoida oma reagointisuunnitelma erityisesti toimitusketjun vaarantumisskenaarion varalta. ”Useimmilla organisaatioilla on suunnitelmia omien järjestelmiensä murtojen varalta. Paljon harvemmat ovat testanneet reagointiaan skenaarioon, jossa murto tapahtuu toimittajalla ja kyseessä olevat tiedot eivät välttämättä ole heidän omaansa, ja rikostekninen todistusaineisto on puutteellista.”
Integroidut, viitekehyksen mukaiset hallintajärjestelmät, kuten esimerkiksi ISO 27001, auttavat myös. Ne tarjoavat ”yhteisen kielen ja rakenteen riskienhallintaan monimutkaisissa ekosysteemeissä”, Simberkoffin mukaan. ”Standardit, kuten ISO 27001, eivät ole vaatimustenmukaisuuden tarkoitus sinänsä. Ne mahdollistavat tiimien toiminnan käynnistämisen ja jatkuvan näkyvyyden, varmuuden ja vastuullisuuden.”
Tämä tarjoaa osoitettavissa olevan prosessin, jolla voi sanoa, mitä tekee, ja todistaa sen, hän sanoo. ”Ympäristöissä, joissa toimitusketjun riski on väistämätön, nämä viitekehykset auttavat organisaatioita siirtymään reaktiivisesta varmistuksesta ennakoivaan hallintaan, mikä on olennaista käsiteltäessä epäselvyyksiä, kolmansien osapuolten vaatimuksia ja kehittyviä uhkamalleja.”
Laajenna tietosi
Blogi: Maksaa lunnaat vai ei? Hallituksen näkökulmat kyberrikollisuuden torjuntaan maksamalla
Podcast: Tietojenkalastelu ongelmanratkaisussa, jakso #09: Mitä ei kannata tehdä katastrofin sattuessa
