Ešte pred tromi rokmi sa útokmi na dodávateľský reťazec zaoberali iba profesionáli v kyberbezpečnosti. Potom prišla kauza SolarWinds a médiá a aj my sme sa naučili, čo je to „supply chain attack“.

Škodlivý kód sa infiltruje do softvéru, hardvéru alebo poskytovanej služby a kyberútoky zasahujú obete cez dodávateľa.

Úder pod pás

Keďže útok prichádza prostredníctvom dôveryhodného kanála alebo dodávateľskej služby, štandardné bezpečnostné mechanizmy sú proti takému typu útokov často bezmocné.

V softvérovej firme SolarWinds útočníci infiltrovali škodlivú funkcionalitu typu backdoor do softvéru Orion. Napadnuté aktualizácie si inštalovali zákazníci a nevedomky umožnili útočníkom získať neoprávnený prístup do svojich sietí. Obeťami sa stali tisícky organizácií vrátane vládnych agentúr a korporácií. Kyberbezpečnostný špecialista Jozef Bálint to považuje za míľnik, ktorý poukázal na to, aké vážne dosahy môže mať takýto typ útoku.

Slovenský príbeh

V prvej polovici roku 2023 médiá publikovali informáciu, že významná slovenská IT firma sa stala terčom ransomvérového útoku. Manažéri kybernetickej bezpečnosti v desiatkach spoločností a inštitúcií si po prečítaní uvedomili, že sú ich zákazníkmi a sú v ohrození. Ich údaje už možno majú útočníci.

V tej chvíli sa pre nich začali preteky s časom: Čo z uniknutých dát nám môže ublížiť? Sieťová dokumentácia? Zdrojové kódy? Prístupové údaje pre dodávateľa do našej siete? Takže – deaktivovať prístupy, pomeniť heslá, varovať zamestnancov pred blížiacou sa vlnou cieleného phishingu. Na všetko mali pár dní. Možno hodín.

Napadnutá spoločnosť napokon výpalné nezaplatila a dáta sa stali verejne dostupnými. Všetkým teda zostáva dúfať, že sa všetko zaplátalo včas.

Pravda je horšia

Celý príbeh, ako ho stručne opísal Milan Pikula z Národného centra kybernetickej bezpečnosti SK-CERT, má však ďalší rozmer. Klasikou bol ešte donedávna pokročilý útočník. Ten, čo s vidinou konečného cieľa identifikuje a napadne jeho dodávateľov.

 To evokuje mimoriadne hackerské zručnosti a takmer magickú schopnosť nepozorovane zasadiť do existujúceho softvéru zadné vrátka. „Vybočme z mainstreamu. Útočníkom zneužijúcim dodávateľský reťazec sa odteraz môže stať absolútne každý, kto si vie stiahnuť pár súborov zo stránky ransomvérového gangu,“ varuje Milan Pikula.

Deravý softvér

Na kompromitovanie IT infraštruktúry a informačných systémov sa útočníci totiž snažia zneužiť najmä diery v softvérových nástrojoch, ktoré sa vo veľkom hojne využívajú. Roman Čupka, odborník v kybernetickej bezpečnosti, poukazuje na predpoveď, že do dvoch rokov sa stane obeťou zneužitia softvérových zraniteľností 45 percent organizácií vo svete. Je to trojnásobne viac ako v roku 2021.

Za týmto hrozivým trendom je rastúce využívanie open-source nástrojov, ktoré zo svojej povahy umožňujú upravovať kód komukoľvek. Tento ekosystém v súčasnosti obsahuje trojnásobne viac „zlomyseľných balíkov“ ako vlani.

Tlak na výkon

Globálne používané komerčné softvérové nástroje obsahujú zraniteľnosti, ktoré vznikajú pri nedostatočnom otestovaní programátorského kódu či laxnosťou vývojárov. A je úplne jedno, či ide o diery v nástrojoch na správu hesiel, v prenose citlivých dát alebo operačných systémoch.

Podľa Roman Čupku však platí priama úmera a pravidlo, že čím kritickejší systém, robustnejšia inštalovaná báza a priamy prístup „do internetu“, tým slastnejšie lákadlo pre útočníkov a väčšia pravdepodobnosť vzniku incidentu.

Ďalšie esá v rukáve

Nadšenci a profesionálne kriminálne skupiny tvoria čoraz sofistikovanejší škodlivý kód aj pomocou nástrojov umelej inteligencie. Preto ho je aj ťažšie identifikovať a odlíšiť napríklad od legitímnej aktualizácie či iných bezpečných častí kódu.

Tretia slabina kyberodolnosti spočíva v samotnej povahe súčasného obchodného modelu organizácií. Podniky sa čoraz viac technologicky prepájajú a vytvárajú s partnermi a dodávateľmi siete, pričom obchodnú dôveru prenášajú aj do kybernetickej bezpečnosti.

Roman Čupka tu upozorňuje napríklad na zanedbávanie šifrovania pri výmene citlivých dát alebo nedostatočnú pozornosť v bezpečnosti autorizovaných aplikácií, ktoré využívajú partneri v dodávateľsko-odberateľskom reťazci. Spolupracujúce organizácie si potrebujú dôverovať – a práve na zneužitie dôvery cielia útočníci.

Aktualizačný moment

Po viac ako roku sa európske inštitúcie zhodli na znení Nariadenia o kyberodolnosti. V praxi bude predstavovať právny rámec, ktorý opisuje požiadavky na kybernetickú bezpečnosť hardvérových a softvérových produktov uvádzaných na trh EÚ.

Riaditeľ odboru certifikácie KCCKB Ivan Kopáčik tým poukazuje na povinnosť výrobcov brať kyberbezpečnosť zodpovedne počas celého životného cyklu produktov. „Platí to pre všetok hardvér a softvér, od detských monitorov, inteligentných hodiniek a počítačových hier až po firewally a smerovače. Samozrejme, produkty s rôznymi úrovňami rizika budú mať rôzne bezpečnostné požiadavky.“

Nariadenie priamo súvisí aj s rastúcou vlnou útokov zameraných na dodávateľské reťazce. Očakáva sa, že vďaka nariadeniu klesnú škody v dôsledku bezpečnostných incidentov v Únii každoročne o vyše 180 miliárd eur.

Nie sme výnimkou

Úspešné útoky na dodávateľský reťazec eviduje SK-CERT aj na Slovenku. „Prípady, ktoré sme pozorovali, sú prácou pokročilých skupín a konečným cieľom je štát,“ hovorí Milan Pikula. Apeluje preto na dodávateľov štátu, aby posilnili kybernetickú bezpečnosť.

Špecialista Jozef Bálint z Alison Slovakia zas upozorňuje na kaskádový efekt útokov. Zasahujú nielen dodávateľov a ich

klientov, ale aj spotrebiteľov či pacientov. Preto sa aj malá firma môže ľahko stať obeťou a kľúčovým prvkom v reťazci.

Na zmiernenie rizík je, samozrejme, nevyhnutná ostražitosť, dôkladné hodnotenia rizík a dodržiavanie bezpečnostných opatrení na rôznych miestach dodávateľského reťazca. Vyberajte si primárne dodávateľov, ktorí disponujú bezpečnostnými certifikáciami a dodržiavajú štandardy, akými sú ISO certifikácie alebo špecifické odvetvové normy.