Cyberangreb skaber kaos i virksomheder. De kan sætte virksomheders drift i stå, dræne deres kasser og undergrave kundernes tillid. Ofte er de ikke forårsaget af IT-sårbarheder i ofrenes egne IT-systemer, men snarere sårbarheder, der findes i deres digitale forsyningskæder.
Et nyligt eksempel på dette er, da Jaguar Land Rover (JLR) oplevede et katastrofalt cyberangreb, som eksperter ved Cyber Monitoring Centre (CMC) anslår behandlet et slag på 1.9 milliarder pund for den bredere britiske økonomi. Bilproducenten måtte stoppe produktionen i flere uger, hvilket hæmmede væksten i Storbritanniens bilindustri. Det menes, at den sammenkoblede karakter af Jaguar Land Rovers globale IT-stak, dens integration med driftsteknologier, der driver fabrikker, og afhængigheden af forsyningskædesystemer tillod hackere at arbejde hurtigt, samtidig med at det gjorde det sværere for IT-teams at isolere angrebet.
Andre dyre cyberangreb i forsyningskæden påvirkede Marks & Spencer (M&S) og Co-op i år. M&S tog en £ 300 millioner tab på overskuddet, mens Co-op forventer at tabe £ 120 millioner i årsresultatet. Begge hændelser førte til, at detailhandlerne oplevede lagermangel, hvilket understreger de driftsforstyrrelser, som hackingangreb kan have for virksomheder. Og de var forårsaget af sårbarheder hos en tredjepartsleverandør – udnyttet gennem social engineering-taktikker.
Med en blanding af sårbarheder i forsyningskæden og dårlige IT-styringspraksisser, der bidrager til cyberangrebene fra JLR, M&S og Co-op, hvad kan virksomheder så gøre anderledes for at styrke deres cyberforsvar og digitale forsyningskæder?
En dominoeffekt
I dag er moderne virksomheder i høj grad afhængige af et økosystem af forskellige platforme, software, applikationer og fysiske teknologier – alle leveret af forskellige leverandører – for at holde sig oven vande. Og når cyberkriminelle bryder ind i en del af det, er konsekvenserne ufattelige og svære at inddæmme.
"En enkelt kompromitteret afhængighed udløser ikke bare et teknisk nedbrud i en dag," siger Tom Finch, leder af ingeniørvirksomheder hos containersikkerhedssoftwareudbyderen Chainguard. "Det udløser en kædereaktion af driftsforstyrrelser, nødopdateringscyklusser, kundeangst og regulatoriske revisioner, der tager uger og nogle gange måneder at komme sig over."
Så snart denne kædereaktion starter, påvirkes forskellige områder af virksomheden – alle forbundet via software – hurtigt. Pete Hannah, vicepræsident for Vesteuropa hos backup-lagringsudbyderen Object First, forklarer, at en enkelt kompromitteret leverandør kan resultere i en ringvirkning i hele den offerorganisation, hvilket kan påvirke dens "drift, levering, kundeinteraktioner og økonomiske præstationer negativt".
Hannah tilføjer, at selv de mindste afbrydelser i forsyningskæden kan udløse "produktionsforsinkelser, kontraktlige sanktioner og kundeafgang". Og selvom det kan ramme en virksomheds økonomi hårdt at komme sig over dette, mener han, at "tillidsnedbrydningen kan være endnu mere varig".
Svage digitale forsyningskæder
Angreb på forsyningskæden er blevet en hyppig kilde til forstyrrelser i dagens forretningslandskab. Og årsagen er "strukturelle" sårbarheder, der findes i digitale forsyningskæder, ifølge Pierre Noel, Field CISO EMEA hos leverandøren af managed detection and response, Expel.
Selvom virksomheder i stigende grad er afhængige af indbyrdes afhængige systemer og teknologier, siger Noel, at de er svækket af "ukendte eller dårligt validerede sikkerhedstilstande", der i øjeblikket er til stede i alle dele af den digitale forsyningskæde. Han tilføjer, at resultatet er manglende synlighed og ansvarlighed, hvilket betyder, at angreb i forsyningskæden ofte går ubemærket hen i længere perioder, og ingen er helt sikre på, hvordan de skal håndtere dem, eller hvem der er skyld i det.
Denne holdning deles af Finch fra Chainguard, der beskriver softwareforsyningskæder som værende "strukturelt skrøbelige". Han siger, at en "sikkerhedsmæssig blind plet" skabes af den "indbyrdes forbundne" moderne software, som er dannet af mange forskellige komponenter, der "bygges og vedligeholdes af tusindvis af mennesker".
Ud over en svag og fragmenteret softwareforsyningskæde advarer Hannah fra Object First om, at mange organisationer undlader at kontrollere sikkerheden hos deres tredjepartsleverandører regelmæssigt. Samtidig siger han, at cyberkriminelle rutinemæssigt udnytter "softwareopdateringer, privilegeret adgang, tredjepartslegitimationsoplysninger og konfigurationsforstyrrelser", når de leder efter en indgang til forsyningskæder og selvfølgelig virksomheder.
Han fortæller IO: "Medmindre virksomheder løbende evaluerer og tester deres forsyningskædes robusthed, i stedet for at stole på periodiske compliance-kontroller, vil de samme mønstre af forstyrrelser fortsætte."
God leverandørstyring er afgørende
Med digitale forsyningskæder mere sårbare end nogensinde, er det blevet et presserende spørgsmål for virksomheder at forbedre deres leverandør- og kundestyringspraksis. For Hannah fra Object First betyder det at gå ud over leverandørkontrakter og forberede sig på angreb i forsyningskæden "på en koordineret måde".
For at gøre det, siger han, at organisationer skal arbejde tæt sammen med deres leverandører om at udarbejde og håndhæve incidentresponsplaner. Samtidig skal roller og ansvar være klare, så "genopretning sker hurtigere, og forstyrrelser inddæmmes".
En anden ekspert, der ser fordelen ved tæt koordinering mellem virksomheder og leverandører i forbindelse med at mindske sikkerhedsrisici i forsyningskæden, er Finch fra Chainguard. Han siger, at når alle interessenter i forsyningskæden samarbejder om "hændelsesresponsroller og kommunikationsveje", kan organisationer reagere på angreb med større hastighed og præcision. Han tilføjer: "Sammen reducerer disse praksisser omfanget og usikkerheden ved hændelser længe før de bliver økonomiske eller omdømmemæssige problemer."
Afbødende tiltag gennem forbedret leverandørkoordinering er dog ikke kun vigtige. Virksomheder skal også forberede sig på det værste udfald af cyberangreb, hvilket ofte er et brud på kundernes tillid. For Noel fra Expel betyder det "klar ansvarlighed, kontraktlig revision for leverandører med højere risiko, transparent kommunikation og koordineret hændelsesrespons". Han tilføjer: "Kunder forventer ikke perfektion; de forventer hastighed, ærlighed og kompetence."
Andre ændringer
Er der behov for andre ændringer ud over sunde leverandør- og kundestyringspraksisser? For Noel of Expel er svaret et rungende ja – han siger, at organisationer ikke længere må betragte forsyningskædesikkerhed som en engangsforeteelse. Det betyder, at man skal erstatte "reaktive løsninger" med "proaktiv risikostyring", hvor CISO'er arbejder tæt sammen med leverandører om at styrke digitale forsyningskæder.
Chainguards Finch er enig med Noel og siger, at organisationer og tredjepartsleverandører skal se forsyningskædesikkerhed som et "fælles forretningsansvar". Dette kræver, at virksomhedsledere, compliance- og teknologer nedbryder eksisterende siloer og arbejder sammen, så fremtidens software er "hurtigere, smartere og mere samarbejdsorienteret end nogensinde".
Selvom det er afgørende at behandle forsyningskædesikkerhed som et fælles ansvar for at afbøde og inddæmme angreb, opfordrer Chris Binnie – en cloud-native sikkerhedskonsulent fra Edinburgh – leverandører til at sikre, at de har "større indsigt i deres egne forsyningskæder", før de leverer produkter til virksomhedskunder.
For at afbøde fremtidige angreb i forsyningskæden siger Diane Downie – en senior softwarearkitekt hos applikationssikkerhedsspecialisterne Black Duck – at organisationer bør "etablere, altid følge og løbende forbedre bedste praksis". At gøre brugen af zero-trust-arkitektur til en vigtig bedste praksis kan også hjælpe, foreslår Hannah fra Object First, ved at begrænse, "hvor langt en angriber kan bevæge sig inden for et miljø".
Det er rimeligt at sige, at angreb i forsyningskæden er blevet en stor hovedpine for både virksomheder og deres leverandører. Men de behøver ikke at være så svære at afbøde, opdage og inddæmme; virksomheder og leverandører skal blot gøre en samordnet indsats for at behandle forsyningskædens sikkerhed som et løbende fælles ansvar. I praksis betyder det at have klare planer, processer og ansvar på plads for at holde angribere på afstand.
Selv med de bedste sikkerhedsforanstaltninger på plads vil der selvfølgelig stadig være tilfælde, hvor angribere formår at bryde ind i forsyningskæder. Det er her, at koordineret hændelsesrespons er afgørende. Og selvfølgelig skal virksomheder og deres partnere være åbne over for kunderne om, hvad der er sket, for at holde dem på deres side.
