chain2

Supply Chain Attack

No niin. Pitkäkestoinen ja kallis tietoturvaprojekti on takana mutta olet nyt turvannut ympäristösi tehokkailla suojamuureilla. Työasemat ovat suojattuja. Mobiililaitteet hallussa. Verkot varmistettu. Datasi on luokiteltu ja ympäristösi on tarkassa valvonnassa. Sitten vilkaiset ohimennen tietoturvan linnakkeesi hämärään nurkkaan ja huomaat että pieni mutta kriittinen osa tietoturvaa on vielä turvaamatta: ulkopuoliset yhteistyökumppanit. 

Supply Chain Attack eli toimitusketjuhyökkäys on metodi jossa hyökkääjä pyrkii tunkeutumaan loppukohteeseensa käyttäen hyväkseen loppukohteen yhteistyökumppania kuten tuotteen tai sovelluksen toimittajaa joka voi olla heikommin suojattu. Esimerkiksi palvelun tarjoajalla saattaa olla tukipalveluita varten etäyhteys loppukohteeseen jonka kaappaamalla hyökkääjä saa pääsyn todelliseen kohteeseensa. Toinen yleinen esimerkki on istuttaa sovellustoimittajan tarjoamaan sovellukseen haittaohjelma joka sovelluksen asennuksen yhteydessä saastuttaa loppukohteen järjestelmän tarjoten pääsyn hyökkääjälle.  Toimitusketjuhyökkäykset kannattaa ottaa vakavasti: arvioiden mukaan toimitusketjuhyökkäykset nousivat 300% vuonna 2021 ja lisää on todennäköisesti odotettavissa vuonna 2022.

Esimerkkejä toimitusketjuhyökkäyksistä

Solarwinds – Solarwindsin tapaus on varmasti yksi kuuluisimmista toimitusketjuhyökkäyksistä. Vuonna 2019 hyökkääjät saivat jalansijan Solarwindsin sisäisiin järjestelmiin. Hyökkääjät saastuttivat tämän jälkeen Solarwindsin Orion-sovelluksen, IT-seurantajärjestelmän jota käytetään tuhansissa asiakkuuksissa ympäri maailmaa. Vuonna 2020 Orion-päivityksen mukana levisi myös siihen piilotettu haittaohjelma joka pääsi leviämään yli 18 000 asiakkuuteen maailmanlaajuisesti.

Ticketmaster – Tuhansien käyttäjien tiedot joutuivat vääriin käsiin käyttäessään Ticketmasterin palvelua vuonna 2018. Syylliseksi paljastui hyökkääjien tarkoituksiin muokattu Javascript -koodi joka oli ujutettu järjestelmään Ticketmasterin ulkoisen toimittajan järjestelmän välityksellä. 

Target – Yhdysvaltalainen Target -kauppaketju joutui suuren hyökkäyksen kohteeksi vuonna 2013. Targetin järjestelmiin onnistuttiin murtautumaan jonka yhteydessä Targetin kassajärjestelmiin ujutettiin haittaohjelma. Tämä haittaohjelma ehti varastaa 40 miljoonan asiakkaan luottokorttitiedot ennen paljastumistaan. Epäillään että Targetin hyökkäys lähti liikkeelle murtautumalla ensin Targetin LVI-toimittajan järjestelmiin. Kyseisellä toimittajalla oli pääsy Targetin verkkoon liiketilojen lämpötilojen valvontaa varten.

Kuinka varautua toimitusketjuhyökkäyksiin?

Toimitusketjuhyökkäyksien ongelmana on se että hyökkäys tulee ulkopuolisen toimijan välityksellä, hyökkäystä on tästä syystä mahdotonta torjua pelkästään organisaation omilla toimilla. On siis tarpeellista tarkkailla toimintaa yhteistyökumppanin kautta.

* Kartoita ympäristösi ja paikanna riskialttiit järjestelmät. Näitä voi olla esimerkiksi palveluiden tarjoajilla käytössä olevat etäyhteydet, ulkoiset sovellukset yms.

*Tarkista toimittajien tiedot ja tiedustele kuinka toimittaja on varmistanut oman tietoturvansa. Onko toimittajalla sertifikaatteja osoituksena turvallisesta toiminnastaan? Kuinka toimittaja suojaa laitteensa, ohjelmistonsa ja tilansa luvattomalta käytöltä? Tekeekö toimittaja säännöllisiä tarkistuksia tietoturvaansa? Onko toimittajalla itsellään toimittajasuhteita jotka voivat vaarantaa toimitusketjun? Näiden asioiden tunnistaminen on tärkeää ja mikäli toimittaja ottaa tietoturvan vastuullisesti, vastaukset yleensä löytyvät kysymättäkin. 

*Toimittajasuhteen voimassaollessa tilanteen tasalla pysymyinen on tärkeää. Anna toimittajalle pienimmät tarpeelliset oikeudet järjestelmiin. Toimittajan kanssa on suositeltavaa tarkistaa sovituin väliajoin ovatko annetut tiedot vielä voimassa vai onko toimittajan toimintaan tullut muutoksia. Pyydä toimittajaa toimittamaan säännöllisesti tiedot kuinka he suojaavat järjestelmänsä ja identiteettinsä ulkoisilta uhkilta. Pidä dokumentaatio ajan tasalla.

*Toimittajasuhteen loppumisen jälkeen on tärkeää huolehtia myös jälkitoimista. Kaikki toimittajalla kohdejärjestelmiin olevat tunnukset ja yhteydet tulee sulkea dokumentaation mukaisesti. Myös toimittajan käyttämät sovellukset on suositeltavaa poistaa järjestelmistä. Mikäli toimittajan omissa järjestelmissä on tallennettuja tietoja asiakkuudesta on hyvä käydä läpi mitä tietoja heillä löytyy asiakkuudesta ja minkä datan toimittaja voi poistaa omista järjestelmistään.

Pidä järjestelmäsi ajan tasalla

Hallinnollisten toimien lisäksi on tietenkin tärkeää pitää myös oma järjestelmä ajantasaisena. Varmista että sinulla on viimeisimmät päivitykset asennettuna ja pidä ympäristösi ajan tasalla. Panosta nykyaikaisiin tietoturvaratkaisuihin jotka tarjoavat kattavan näkyvyyden infrastruktuuriin paljastaen epäilyttävän toiminnan. Pidä myös huoli että sinulla on myös kyberturvallisuusstrategia laadittuna joka ottaa myös kantaa myös mahdollisiin tietomurtohavaintoihin.