Toimitusketju on osa riskiprofiiliasi

Oman verkon suojaaminen ja valvonta kuuluu jokaisen organisaation asialistalle. Tänä vuonna on kuitenkin tullut useita uutisia jotka antavat syyn korostaa yhtä hyökkäysvektoria joka jää usein huomioimatta: organisaation toimitusketju. Ilmiötä on myös tutkittu: Carbon Blackin raportin mukaan jo puolet hyökkäyksistä kohdistuvat koko toimitusketjuun eivätkä vain yhteen toimijaan.

Mitä nämä toimitusketjun riskit sitten ovat? Digitalisoituvassa yhteiskunnassa toimittajilla on yhä useammin jonkinasteinen pääsy asiakkaansa verkkoon tai järjestelmiin, tai ne toimittavat laitteita ja ohjelmistoja asiakkailleen. Tämä avaa monenlaisia riskejä: yksi on esimerkiksi tavallinen haittaohjelmien leviäminen verkosta toiseen. Toisaalta myös erilaiset kalasteluyritykset ja huijaukset ovat helpompia mikäli huijari pystyy käyttämään esimerkiksi toimittajan sähköpostitiliä. Kenties vakavin uhka on kuitenkin APT-toimijoiden (advanced persistent threat) tekemät kohdistetut hyökkäykset. Listataanpa muutamia esimerkkejä jotka ovat olleet uutisissa tänä vuonna:

Case Wipro

It-konsultointia ja integraatiopalveluita tarjoava intialainen Wipro ilmoitti huhtikuussa 2019 joutuneensa kohdistetun hyökkäyksen välikappaleeksi. Hyökkääjä oli ollut Wipron verkossa useita kuukausia ja kohdistanut hyökkäyksensä ainakin kahteentoista Wipron asiakkaaseen. Uhka havaittiin kun Wipro huomasi työntekijöidensä käyttäjätileillä epämääräistä toimintaa ja aloitti tutkinnan. Eräs asiakkaista taas huomasi verkossa hyökkääjän tekemiä tiedostoja jotka oli nimetty Wipron asiakkaiden mukaan.

Hyökkääjät pyrkivät selvästi pysymään salassa kyetäkseen tiedustelemaan verkossa ja kerätäkseen salassapidettävää materiaalia. Hyökkäysvektorina toimivat asiakkaiden ja Wipron yhteiset järjestelmät ja Wipron sähköposti. Monen kuukauden matalan profiilin tiedustelu ja selvästi asiakkaisiin kohdistettu hyökkäys kuvaa hyvin kuinka toimitusketju voi toimia pitkäkestoisen kohdistetun hyökkäyksen alustana.

Case Asus

Maaliskuussa kävi ilmi että hyökkääjät olivat murtautuneet Taiwanilaisen tietokonejätti Asuksen palvelimille ja onnistuneet levittämään Asuksen laitteille haitallisen päivityksen joka oli allekirjoitettu Asuksen omalla sertifikaatilla. Hyökkäys on liitetty kiinalaiseen Barium-ryhmittymään joka on hyökännyt ainakin kuuden eri toimitusketjun kimppuun viimeisen kolmen vuoden aikana.

Hyökkäyksen huomasi tietoturvayhtiö Kaspersky. Kasperskyn arvion mukaan päivitys levisi noin 500 000 koneeseen, mutta vain 600 niistä olivat hyökkääjän kohteena. Kyseessä oli siis erittäin kohdistettu hyökkäys, joka levisi laajalle siksi että hyökkäysvektorina käytettiin laitteiden päivitysmekanismia. Tapaus osoittaa hyvin sen, miten toimittajalta tulevat ohjelmistot tai niiden päivitykset voivat myös olla todellisuudessa hyökkääjän työkaluja.

Case Airbus

Eurooppalainen lentokonevalmistaja Airbus ilmoitti tammikuussa joutuneensa kyberhyökkäyksen kohteeksi aiemman vuoden aikana. Taustalla oli ilmeisesti Kiinan valtion tukema APT-ryhmittymä, joka etsi teknistä dokumentaatiota eräiden Airbusin osien sertifioinnista, sekä tietoja A400M-sotilaskoneesta ja A350-moottorista ja lentojärjestelmistä. Motiivina on ilmeisesti kiinalaisen ilmailuteollisuuden kilpailukyvyn parantaminen ja esimerkiksi C919-koneen sertifioinnin kohtaamat ongelmat.

Syyskuussa tapauksesta selvisi lisätietoja: Airbus oli hakkeroitu toimittajiensa, mm. brittiläisen Rolls Roycen sekä kolmen ranskalaisen yrityksen kautta. Hyökkäysvektorina toimivat toimittajien VPN-yhteydet Airbusin verkkoon. Hyökkääjällä oli toimivat tunnukset ja admin-tason pääsy järjestelmiin sekä mahdollisuus liikkua laajasti verkossa.

Case Stuxnet / Iranin ydinohjelma

Stuxnet itsessään on vanha uutinen, mutta hyökkäysvektori tuli julki tänä vuonna. Yhdysvallat ja Israel käyttivät Alankomaiden tiedustelupalvelun myyrää välikätenä hyökkäyksessään Iranin ydinohjelmaa vastaan. Yhdysvallat ja Israel olivat luoneet kaksi peiteyritystä Iraniin, joista toisen teknikko sai lopulta pääsyn Iranilaiseen uraanin rikastamoon. 

Päästyään laitokseen hyökkääjä sai levitettyä Stuxnet-haittaohjelman ilmeisesti muistitikun välityksellä, joka johti lopulta noin tuhannen sentrifugin vahingoittumiseen. Tapaus on hyvä esimerkki siitä, miten jopa kaikkein turvatuimmissa, internetistä eristetyissä laitoksissa toimitusketju voi toimia erityisesti valtiollisten tahojen hyökkäysvektorina.

Johtopäätökset

Mitä näistä hyökkäyksistä voi oppia? Aivan ensimmäinen johtopäätös on, että pelkkä oman verkon suojaus ei riitä, vaan tulee kiinnittää huomiota myös siihen miten toimittajia voidaan käyttää hyökkäysvektoreina. Yhteiset järjestelmät, VPN-yhteydet ja toimitetut laitteet, ohjelmistot ja päivitykset ovat kaikki mahdollisia hyökkäysvektoreita, kuten myös toimittajien fyysinen pääsy asiakkaansa ympäristöön. Huomioithan myös, että jopa toimittaja jonka kanssa ei enää ole toimintaa saattaa olla hyökkäysvektori, mikäli esimerkiksi vanhoja käyttäjätunnuksia tai järjestelmiä on unohtunut käyttöön.

Erityisesti ulkopuoliset käyttöoikeudet, yhteiset järjestelmät ja muut pääsyn mekanismit kuten VPN:t tulisi käydä tarkasti läpi, ja minimoida niiden aiheuttamat riskit. Lisäksi ohjelmisto- ja laitetoimituksiin sekä toimittajien pääsyyn toimitiloihin tulee suhtautua varauksella. Lisäksi havainnointikyky on kultaakin kalliimpaa, sillä usein hyökkäykset ovat huomaamattomia matalan profiilin operaatioita jotka kestävät kuukausia, jopa vuosia. 

Toinen johtopäätös on, että toimittajien kautta tehtävät hyökkäykset ovat erityisesti kohdennettuja hyökkäyksiä tekevien ryhmittymien suosiossa. Mikäli itse kohteen suojaukset ovat hyvät, on monesti helpompi väylä hyökätä toimittajien järjestelmien kautta. Kohdennetut hyökkäykset vaativat resursseja, joten hyökkäyksissä korostuu esimerkiksi valtiollinen teollisuusvakoilu. Jos yritys kokee teollisuusvakoilun olevan riski, on syytä kiinnittää erityistä huomiota toimitusketjun turvallisuuteen. Toisaalta taas jos yrityksen asiakkaina on korkean profiilin kohteita, on otettava huomioon mahdollisuus joutua kohdennetun hyökkäyksen välikädeksi. 

Pysykää siis turvassa myös toimitusketjunne osalta! Siinäkin toiminnan vahvuuden määrittää pitkälti ketjun heikoin lenkki.

Heräsikö kysymyksiä? Ota yhteyttä!

Työpuhelin


Kategoria Blogi