Er ESG-data det næste mål for Ransomware-aktører?
Indholdsfortegnelse:
Som en berømt frø engang sagde, er det ikke let at være grøn. I slutningen af januar, rapporter opdagede af et ransomware-angreb på Sustainability Business divisionen af Schneider Electric, hvilket rejser spørgsmålet: hvor værdifuldt et mål er virksomhedens bæredygtighedsdata? Efterhånden som organisationer for alvor går i gang med strategier for miljø, social og forvaltning (ESG), skal de muligvis gøre mere for at holde denne information låst.
Hvad skete der hos Schneider Electric?
Cactus ransomware-gruppen hævdede at have 1.5 TB af virksomhedens data og truede med at frigive dem offentligt, hvis det franske multinationale ikke betalte. En måned senere, det udgivet 25MB af data til at drive truslen hjem. Det vides stadig ikke, om Schneider Electric har betalt en løsesum for dataene, eller om Cactus krypterede oplysningerne, mens de også stjal dem, hvilket er dens generelle modus operandi.
Schneider Electric har tidligere været udsat for et ransomware-angreb; Clop-banden fik adgang til nogle af deres data i maj 2023 som en del af angrebet på Progress Softwares MOVEit-filoverførselstjeneste, som støvsugede tusindvis af virksomheders informationer op.
Denne gang fokuserede angrebet på én specifik division. Sustainability Business divisionen er en virksomhed inden for Schneider Electric, der fokuserer på et relativt nyt marked: indsamling og rapportering af bæredygtighedsdata.
Et voksende behov for ESG-data
Bæredygtighedsdata repræsenterer "E" i ESG, en voksende bevægelse for at gøre virksomheder mere ansvarlige for deres effekt på planeten og samfundet. Bæredygtighedssiden omhandler målinger, herunder forbrug (af ressourcer som energi og vand), sammen med emissioner (typisk af drivhusgasser).
Disse data er nyttige for investorer, der i stigende grad scorer virksomheder på deres ESG-præstation. Investeringsforvaltningsselskab Capital Group fundet at ni ud af 10 investeringsprofessionelle globalt overvejer ESG i deres strategier, hvor 57 % mener, at det kan afdække attraktive investeringsmuligheder. Men 54 % af dem siger, at disse data er sværere at få. Jo mere af det investorer har, jo mere fortrolige føler de sig ved at sætte penge ind i disse virksomheder
.Andet pres får virksomheder til at fokusere på bæredygtighedsrapportering. I EU er Direktiv om rapportering af virksomhedernes bæredygtighed (CSRD) vil håndhæve European Sustainability Reporting Standards (ESRS), ved at anvende mere detaljeret bæredygtighedsrapportering om EU-virksomheder eller dem, der opererer i blokken.
For at forstå værdien af de bæredygtighedsdata, der understøtter disse initiativer, skal du følge pengene. De fire store forfølger aktivt datadrevet bæredygtighedsforretning. Deloitte investeret $1 mia. i sin bæredygtighed og klimapraksis i april 2022, og tilbyder en bæredygtighedsanalysetjeneste praksis, der hjælper kunder med at overvåge ressourceforbrug både internt og på tværs af deres forsyningskæder. EY, KPMG og PwC tilbyder alle tjenester til at skabe en bæredygtighedsstrategi og derefter integrere driftsdata for at understøtte den.
En ekspanderende angrebsflade
Indsamling og rapportering af disse data skaber flere risici for virksomheder:
Datadybde og bredde
Virksomheder høster en bred vifte af driftsdata fra deres egne anlæg, lige fra strømforbruget på de enkelte maskiner til affaldsproduktion, brændstofmængder og flådeantal.
Nogle, som PwC, fortaler datasøer, der vil rumme en blanding af drifts-, biodiversitets- og sikkerhedsdata. Disse vil blive gift med andre datasøer, der indeholder kunde- og markedsinformation, sammen med data fra ERP-systemer, IoT-sensorer og endda HR-data. Den forestiller sig, at al denne information flyder gennem bæredygtighedsrapporteringsværktøjer.
Dataomfang
Den anden trussel er omfanget af de indsamlede data, som strækker sig ud over en organisations proprietære drift til deres leverandørers data. PwC's model for bæredygtighedsdata inkluderer tredjepartsoplysninger fra andre i virksomhedens forsyningskæde.
Angrebet på Schneider Electric kompromitterede deres EcoStruxure Resource Advisor-platform. Det er et cloud-baseret system, der indsamler og analyserer data om facilitetsdrift og forsyningskæder. Dette gør det muligt for kunderne at overvåge og forudsige energiforbruget og generere emissionsrapporter. Dets reklamemateriale erklærer stolt, at det ikke kun henter sine kunders egne datafeeds, men også data fra tredjepartsudbydere.
Datacentralisering
Virksomheder som Schneider Electric jagter profit fra bæredygtighedsdatatjenester ved at tage indsamlingen og analysen af disse data fra kundernes hænder. Dette gør disse udbydere af bæredygtighedsdatatjenester til et attraktivt mål for cyberkriminelle, der ønsker at høste store mængder af denne værdifulde kundeinformation. Schneider Electrics bæredygtighedsenhed talte flere værdifulde virksomheder blandt sine kunder, herunder Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo og Walmart.
Sådan forbliver du sikker i jagten på bæredygtighed
Det er ikke klart, om angrebet på Schneider Electric var målrettet eller blot en heldig ulykke for opportunistiske tyve, men begge veje er disse følsomme data klart et værdifuldt mål. Så hvad kan virksomheder gøre for at beskytte sig selv?
Vurdering af leverandører for effektiv sikkerhedspraksis er nøglen, herunder evaluering af deres cybersikkerhedskontrolcertificeringer. Disse certificeringer garanterer dog ikke 100 % sikkerhed. Andre tiltag kan reducere sandsynligheden for datatyveri.
Det er vigtigt at opretholde en stærk databeholdning – at holde styr på alle data, der deles, og tydeligt dokumentere, hvilke typer følsomme oplysninger en tredjepartstjenesteudbyder kan få adgang til. Etablering af protokoller til styring af adgangsrisiko, både af tredjepartstjenesteudbydere og internt, er også god sikkerhedspraksis.
Uanset om du handler med en tredjepartstjenesteudbyder eller samler og opbevarer alle data internt, er beskyttelse mod ransomware afgørende. Det betyder, at der skal sættes kontrol på plads, såsom grundlæggende slutpunktsdetektion og -forebyggelse til managed detection and response (MDR). Grundlæggende cyberhygiejne, herunder rettidige sikkerhedsopdateringer og slutbrugertræning, er også nyttige forsvarslinjer.
ESG-data bliver et stadig mere tiltalende aktiv for online-skurke, uanset om de fanger det vilkårligt i deres net eller søger efter det med vilje. Effektive cybersikkerhedsforanstaltninger, der er veldokumenterede, vil gå langt i retning af at beskytte denne nye juvel i kronen.
