Kyberhyökkäykset aiheuttavat tuhoa yrityksille. Ne voivat pysäyttää yritysten toiminnan, tyhjentää niiden kassat ja heikentää asiakkaiden luottamusta. Usein niitä eivät aiheuta uhrien omien IT-järjestelmien haavoittuvuudet, vaan pikemminkin heidän digitaalisten toimitusketjujensa haavoittuvuudet.
Äskettäinen esimerkki tästä on Jaguar Land Roverin (JLR) katastrofaalinen kyberhyökkäys, jonka kybervalvontakeskuksen (CMC) asiantuntijat arvioivat käsiteltävä 1.9 miljardin punnan isku koko Ison-Britannian taloudelle. Autonvalmistajan oli keskeytettävä tuotanto useiksi viikoiksi, mikä pysäytti Britannian autoteollisuuden kasvun. Uskotaan, että Jaguar Land Roverin globaalin IT-järjestelmän toisiinsa kytkeytynyt luonne, sen integrointi tehtaita tukeviin operatiivisiin teknologioihin ja riippuvuus toimitusketjujärjestelmistä mahdollistivat hakkereille nopean toiminnan ja samalla vaikeuttivat IT-tiimien työtä hyökkäyksen eristämiseksi.
Muita kalliiksi koituneita toimitusketjuhyökkäyksiä vaikuttivat tänä vuonna Marks & Spenceriin (M&S) ja Co-opiin. M&S otti £ 300 euroa tappiot tappioiden osalta, kun taas Co-op odottaa tappioitaan £ 120 euroa koko vuoden tuloksessa. Molemmat tapaukset johtivat vähittäiskauppiaiden varastovajeeseen, mikä korostaa hakkerointien mahdollisia liiketoiminnan häiriöitä. Ja ne johtuivat kolmannen osapuolen toimittajan haavoittuvuuksista, joita hyödynnettiin sosiaalisen manipuloinnin taktiikoilla.
Kun JLR:n, M&S:n ja Co-opin kyberhyökkäyksiin on vaikuttanut sekä toimitusketjujen haavoittuvuudet että huonot IT-hallintakäytännöt, mitä yritykset voivat tehdä eri tavalla vahvistaakseen kyberpuolustusta ja digitaalisia toimitusketjujaan?
Dominoefekti
Nykypäivän yritykset ovat vahvasti riippuvaisia eri alustojen, ohjelmistojen, sovellusten ja fyysisten teknologioiden ekosysteemistä – jotka kaikki toimittavat eri toimittajilta – pysyäkseen pinnalla. Ja kun kyberrikolliset murtautuvat johonkin osaan siitä, seuraukset ovat käsittämättömät ja vaikeasti hillittävä.
”Yksittäinen vaarantunut riippuvuus ei laukaise vain päivän mittaista teknistä käyttökatkosta”, sanoo Tom Finch, konttitietoturvaohjelmistoja tarjoavan Chainguardin suunnittelujohtaja. ”Se käynnistää ketjureaktion, johon kuuluu toiminnan häiriöitä, hätäkorjausjaksoja, asiakkaiden ahdistusta ja viranomaistarkastuksia, joista toipuminen kestää viikkoja ja joskus jopa kuukausia.”
Heti kun tämä ketjureaktio käynnistyy, eri liiketoiminnan osa-alueet – jotka kaikki ovat ohjelmistojen kautta yhteydessä toisiinsa – kärsivät nopeasti. Pete Hannah, varmuuskopiointipalveluita tarjoavan Object Firstin Länsi-Euroopan varatoimitusjohtaja, selittää, että yksikin vaarantunut toimittaja voi aiheuttaa aaltovaikutuksen koko uhriorganisaatioon ja vaikuttaa haitallisesti sen "toimintaan, toimituksiin, asiakaskohtaamisiin ja taloudelliseen suorituskykyyn".
Hannah lisää, että pienimmätkin toimitusketjun katkokset voivat laukaista ”tuotantoviiveitä, sopimussakkoja ja asiakasvaihtuvuutta”. Vaikka tästä toipuminen voi iskeä yrityksen talouteen kovasti, hän uskoo, että ”luottamuksen rapautuminen voi olla vieläkin pysyvämpää”.
Heikot digitaaliset toimitusketjut
Toimitusketjuhyökkäyksistä on tullut yleinen häiriölähde nykypäivän liiketoimintaympäristössä. Syynä tähän ovat digitaalisissa toimitusketjuissa esiintyvät "rakenteelliset" haavoittuvuudet, sanoo Pierre Noel, hallittujen hyökkäysten havaitsemis- ja reagointipalvelujen tarjoaja Expelin tietoturvajohtaja EMEA-alueella.
Vaikka yritykset luottavat yhä enemmän toisistaan riippuviin järjestelmiin ja teknologioihin, Noelin mukaan niitä heikentävät "tuntemattomat tai huonosti validoidut turvallisuustilanteet", joita on tällä hetkellä läsnä kaikissa digitaalisen toimitusketjun osissa. Hän lisää, että tuloksena on näkyvyyden ja vastuullisuuden puute, mikä tarkoittaa, että toimitusketjuhyökkäykset jäävät usein huomaamatta pitkiksi ajoiksi, eikä kukaan ole aivan varma, miten niihin tulisi puuttua tai kuka on syyllinen.
Tätä näkemystä tukee Chainguardin Finch, joka kuvailee ohjelmistojen toimitusketjuja "rakenteellisesti hauraiksi". Hän sanoo, että "tietoturvan sokea piste" syntyy nykyaikaisten ohjelmistojen "keskinäisyydestä", jotka koostuvat monista eri komponenteista, "jotka tuhannet ihmiset rakentavat ja ylläpitävät".
Heikon ja pirstaloituneisen ohjelmistotoimitusketjun lisäksi Object Firstin Hannah varoittaa, että monet organisaatiot eivät tarkista kolmansien osapuolten toimittajiensa turvallisuutta säännöllisesti. Samaan aikaan hän sanoo, että kyberrikolliset hyödyntävät rutiininomaisesti "ohjelmistopäivityksiä, etuoikeutettuja käyttöoikeuksia, kolmansien osapuolten tunnuksia ja konfiguraatioiden vaihtelua" etsiessään pääsyä toimitusketjuihin ja tietenkin yrityksiin.
Hän kertoo IO:lle: ”Ellei yritykset jatkuvasti arvioi ja testaa toimitusketjujensa kestävyyttä säännöllisten vaatimustenmukaisuustarkastusten sijaan, samat häiriöt jatkuvat.”
Hyvä toimittajien hallinta on olennaista
Digitaalisten toimitusketjujen ollessa haavoittuvampia kuin koskaan, yritysten on kiireellisesti parannettava toimittaja- ja asiakashallintakäytäntöjään. Object Firstin Hannahille tämä tarkoittaa toimittajasopimusten ylittämistä ja toimitusketjuhyökkäyksiin varautumista "koordinoidusti".
Tämän saavuttamiseksi organisaatioiden on hänen mukaansa tehtävä tiivistä yhteistyötä toimittajiensa kanssa häiriötilanteisiin varautumissuunnitelmien laatimiseksi ja täytäntöönpanemiseksi. Samanaikaisesti roolien ja vastuiden on oltava selkeitä, jotta ”toipuminen on nopeampaa ja häiriöt rajattuja”.
Toinen asiantuntija, joka näkee yritysten ja toimittajien välisen tiiviin yhteistyön hyödyllisenä toimitusketjun turvallisuusriskien lieventämisessä, on Chainguardin Finch. Hän sanoo, että kun kaikki toimitusketjun sidosryhmät tekevät yhteistyötä "tapahtumien reagointirooleissa ja viestintäpoluissa", organisaatiot voivat reagoida hyökkäyksiin nopeammin ja tarkemmin. Hän lisää: "Yhdessä nämä käytännöt vähentävät tapausten laajuutta ja epävarmuutta kauan ennen kuin niistä tulee taloudellisia tai maineeseen liittyviä ongelmia."
Tärkeitä eivät kuitenkaan ole ainoastaan toimittajien koordinoinnin parantamiseen tähtäävät lieventävät toimet. Yritysten on myös varauduttava kyberhyökkäysten pahimpaan mahdolliseen lopputulokseen, joka usein on asiakkaiden luottamuksen horjuminen. Noel of Expelille tämä tarkoittaa ”selkeää vastuullisuutta, sopimusperusteista tarkastusta riskialttiimmille toimittajille, läpinäkyvää viestintää ja koordinoitua reagointia tapahtumiin”. Hän lisää: ”Asiakkaat eivät odota täydellisyyttä; he odottavat nopeutta, rehellisyyttä ja pätevyyttä.”
Muut muutokset
Tarvitaanko muita muutoksia terveiden toimittaja- ja asiakashallintakäytäntöjen lisäksi? Noel of Expelille vastaus on ehdottomasti kyllä – hän sanoo, että organisaatioiden ei enää pidä pitää toimitusketjun turvallisuutta kertaluonteisena toimenpiteenä. Tämä tarkoittaa "reaktiivisten korjausten" korvaamista "ennakoivalla riskienhallinnalla", jossa tietoturvajohtajat tekevät tiivistä yhteistyötä toimittajien kanssa digitaalisten toimitusketjujen vahvistamiseksi.
Noelin kanssa samaa mieltä on Chainguardin Finch, joka sanoo, että organisaatioiden ja kolmannen osapuolen toimittajien on pidettävä toimitusketjun turvallisuutta "jaettuna liiketoimintavastuuna". Tämä edellyttää, että yritysjohtajat, vaatimustenmukaisuudesta vastaavat ja teknologia-asiantuntijat purkavat olemassa olevia siiloja ja työskentelevät yhdessä, jotta tulevaisuuden ohjelmistot ovat "nopeampia, älykkäämpiä ja yhteistyökykyisempiä kuin koskaan".
Vaikka toimitusketjun turvallisuuden käsitteleminen jaettuna vastuuna on elintärkeää hyökkäysten lieventämisessä ja hillitsemisessä, Chris Binnie – pilvinatiivitietoturvakonsultti Edinburghista – kehottaa toimittajia varmistamaan, että heillä on "parempi näkyvyys omiin toimitusketjuihinsa" ennen tuotteiden toimittamista yritysasiakkaille.
Tulevaisuuden toimitusketjuhyökkäysten lieventämiseksi Diane Downie – sovellustietoturvaan erikoistuneen Black Duckin vanhempi ohjelmistoarkkitehti – sanoo, että organisaatioiden tulisi "luoda, aina noudattaa ja jatkuvasti parantaa parhaita käytäntöjä". Hannah Object Firstistä ehdottaa, että nollaluottamusarkkitehtuurin käytöstä tulisi keskeinen paras käytäntö, joka voi myös auttaa rajoittamalla "kuinka pitkälle hyökkääjä voi liikkua ympäristössä".
Voidaan sanoa, että toimitusketjuhyökkäyksistä on tullut merkittävä päänsärky sekä yrityksille että niiden toimittajille. Niiden lieventäminen, havaitseminen ja eristäminen ei kuitenkaan ole niin vaikeaa; yritysten ja toimittajien on yksinkertaisesti pyrittävä yhteisvoimin käsittelemään toimitusketjun turvallisuutta jatkuvana jaettuna vastuuna. Käytännössä tämä tarkoittaa selkeiden suunnitelmien, prosessien ja vastuiden laatimista hyökkääjien pitämiseksi loitolla.
Vaikka parhaat suojatoimet olisivat käytössä, on tietysti edelleen tapauksia, joissa hyökkääjät onnistuvat murtautumaan toimitusketjuihin. Tässä kohtaa koordinoitu reagointi on olennaista. Ja yritysten ja niiden kumppaneiden on tietysti oltava avoimia asiakkailleen tapahtuneesta pitääkseen heidät mukana.
