Bezpieczny łańcuch dostaw. Ryzyka nie unikniemy, ale można je zminimalizować
W cyfrowej grze o bezpieczeństwo danych każdy ruch ma znaczenie. W cyfrowym świecie ryzyko cyberataków nie tylko nie maleje, ale wciąż rośnie. Firmy – niezależnie od skali działalności – muszą zabezpieczyć się nie tylko przed niebezpieczeństwem utraty danych czy pieniędzy, ale również reputacji w kontakcie z biznesowymi partnerami.
Jest rok 1959. CIA przeprowadza operację godną najlepszego thrillera szpiegowskiego, przechwytując radziecką sondę księżycową w trakcie transportu. Technicy rozbierają i składają ją z powrotem w mniej niż dobę, nie zostawiając za sobą żadnego śladu. Pozyskane w ten sposób dane są dla wywiadu bezcenne.
Rok 2014. Hakerzy wykorzystują dane uwierzytelniające zewnętrznych dostawców amerykańskiej korporacji sieci supermarketów, by dokonać jednej z największych kradzieży numerów kart kredytowych i debetowych w historii – według szacunków było ich aż 56 mln.
Rok 2020. Na światło dzienne wychodzi incydent w firmie SolarWinds, producencie oprogramowania. Hakerzy wprowadzili złośliwy kod do oprogramowania, które następnie trafiło do klientów firmy. Narażonych zostało przez to 18 tys. przedsiębiorstw, włącznie z państwowymi instytucjami w USA.
Podszywają się pod kontrahentów
To tylko kilka przykładów – z różnych czasów i o różnym zasięgu – pokazujących, jak istotne jest bezpieczeństwo własne, ale też wszystkich innych podmiotów, które uczestniczą w łańcuchu dostaw danego produktu – od producenta i dostawcy części, przez logistykę aż po samą sprzedaż, instalację czy uaktualnienia i serwis. Powyższe wydarzenia odbiły się szerokim echem na całym świecie, bo dotyczyły dużych firm czy organizacji. Ale to nie znaczy, że ci mniejsi są bezpieczni.
– Zauważamy tutaj wyraźny wzrost liczby oszustw, więc firmy powinny znacznie bardziej zwracać uwag na swoje cyberbezpieczeństwo w kontekście współdziałania z kontrahentami czy partnerami biznesowymi – zauważa Ewa Kultys, starszy specjalista ds. bezpieczeństwa antyfraudowego w mBanku. – To, z czym my jako bank mamy najczęściej do czynienia, to próby przekonania kogoś do tego, by zrealizował przelew na rachunek oszusta. Tutaj pojawiają się takie zagrożenia jak faktury z podmienionym numerem konta, gdzie podszywający się pod kontrahentów przestępcy liczą na to, że wpłacający nie sprawdzi jego poprawności. Inną, groźniejszą formą, jest zmiana rachunku do stałych wypłat bo prowadzi do wielu takich przelewów.
Socjotechnika i technologia
Bezpieczeństwo łańcucha dostaw skupia się na minimalizowaniu ryzyka związanego z zewnętrznymi dostawcami, sprzedawcami oraz procesami logistycznymi i transportowymi. Chodzi o to, aby sprawdzać i kontrolować, jakie zagrożenia mogą wynikać z pracy z innymi firmami. To zarówno ochrona fizyczna towarów przed kradzieżą czy uszkodzeniem, jak i zabezpieczenie systemów informatycznych przed atakami hakerskimi.
– Przestępcy niejednokrotnie uzyskują dostęp do skrzynki mailowej ofiary, są w stanie zebrać wiele informacji o firmie i je wykorzystać np. do oszukania kontrahenta, wysłania mu fałszywej faktury czy jeszcze bardziej długofalowych i kosztownych działań. Często wykorzystują różne socjotechniki, by zmanipulować ofiarę – mówi Ewa Kultys. – Trzeba pamiętać, że w takim przypadku, poszkodowane są obie strony: ta, która przelewu nie otrzymała i ta, która go zrobiła na niewłaściwy rachunek. Często są to sytuacje, w których towar został już wysłany albo usługa wykonana. Dostawca więc domaga się zapłaty, a – szczególnie przy dużych kwotach – odbiorca może mieć trudności z jej ponownym wykonaniem ze względu na swoją płynność finansową.
Najlepsze praktyki, czyli jak się bronić?
Cyberbezpieczeństwo łańcucha dostaw to kompleksowy proces, który wymaga indywidualnego podejścia w każdej firmie. Strategie zarządzania ryzykiem odgrywają kluczową rolę w identyfikacji potencjalnych zagrożeń i wdrażaniu skutecznych metod ich minimalizowania. Nie istnieje uniwersalny zestaw najlepszych praktyk, który pasowałby do każdej sytuacji, ale istnieje szereg sprawdzonych metod, które mogą znacząco zwiększyć bezpieczeństwo.
– Każda firma powinna mieć wypracowane procedury postępowania, w szczególności dotyczące płatności. Najlepiej, jeśli faktura przechodzi przez kilka działów, jeden weryfikuje jej poprawność, inny realizuje płatność. Dobrym rozwiązaniem, pozwalającym na wzmocnienie bezpieczeństwa we współpracy z innymi firmami i klientami, jest oddzielenie adresów mailowych do korespondencji wewnętrznej i zewnętrznej. Klientowi podajemy tylko tę skrzynkę zewnętrzną, a wewnętrznie pracownicy kontaktują się w zupełnie innych domenach – mówi Ewa Kultys.
Dobrym zabezpieczeniem jest też jasne określenie warunków, jakie muszą być spełnione przy zmianie rachunków do rozliczeń między firmami. Te pojawiają się często w umowach między firmami i tam też powinna pojawić się klauzula, która mówi, kto jest upoważniony do tego, by ten rachunek zmienić.
– Jeśli takich zapisów nie ma, to przecież można zrobić aneks – podpowiada ekspertka. – Pamiętajmy, że tu chodzi o bezpieczeństwo pieniędzy, ale też i o renomę firmy. Takie dbanie o procedury spowoduje, że oddalamy ryzyko kompromitacji.
O co pracownik banku nigdy nie poprosi
Specjaliści od cyberbezpieczeństwa przy każdej okazji powtarzają, że najsłabszym ogniwem zabezpieczeń jest człowiek. Dlatego więc – poza zaimplementowaniem technologii i procedur, które pomagają chronić firmę przed atakiem – kluczowe jest zapewnienie szkoleń dla pracowników.
– My jako bank głównie stawiamy na edukację klienta. Edukujemy o schematach przestępczych, które się pojawiają, i przekazujemy zalecenia bezpieczeństwa. Informujemy, jak zachowywać się w konkretnych sytuacjach. Zawsze zwracamy uwagę na to, że ostrożność jest czynnikiem, który może nas uchronić przed większością ataków, które obecnie istnieją. Zalecamy, aby być zawsze ostrożnym, nie działać pochopnie i zawsze dokonywać weryfikacji – mówi ekspertka mBanku.
Bank stale dopracowuje również własne procedury i zabezpieczenia i dostosowuje je do działań przestępców. Jednym z częstych zagrożeń jest podszywanie się pod pracownika banku, dlatego mBank wprowadził potwierdzenie tożsamości pracownika przez aplikację mobilną dla klientów detalicznych.
– Uczymy klientów rozpoznawać oszukańcze schematy i informujemy, jakie pytania może zadać pracownik banku, a czego nigdy nie zrobi w trakcie rozmowy. Jeśli ktoś prosi o nadmierne dane lub wykonanie operacji, jest to sygnał ostrzegawczy. Pracownik banku nigdy nie poprosi klienta o wykonanie przelewu w trakcie rozmowy telefonicznej. Wszystkie te próby podszywania się pod pracownika banku mają na celu skłonienie ofiary do wykonania transakcji lub podania danych logowania do bankowości internetowej. O tym właśnie informujemy naszych klientów– wyjaśnia Ewa Kultys.
Aktywna obrona
W zależności od branży i specyfiki działalności łańcuchy dostaw mogą być bardzo różne i wymagać współpracy z wieloma różnymi partnerami. Dlatego nie istnieje uniwersalny przepis na to, jak dbać o bezpieczeństwo w każdej sytuacji. Każda firma musi opracować własną, kompleksową strategię, która będzie obejmować zarówno solidne zarządzanie ryzykiem, jak i zaawansowane metody ochrony cybernetycznej.
Według raportu Europejskiej Agencji ds. Cyberbezpieczeństwa najbardziej uregulowanym i dofinansowanym sektorem w zakresie zapewnienia cyberbezpieczeństwa łańcucha dostaw jest sektor bankowy. Jednak nawet bank nie jest w stanie skutecznie zablokować przelewu, który zleci osoba do tego uprawniona w firmie i głęboko przekonana (wskutek działań przestępców), że robi to we właściwym trybie i na właściwy rachunek.
Dlatego, chociaż całkowite wyeliminowanie zagrożeń jest niemożliwe, firmy muszą być proaktywne, nie tylko w zakresie ochrony własnych zasobów, ale również w kontekście współpracy z partnerami biznesowymi. Inwestycje w szkolenia i rozwój kompetencji cyfrowych pracowników są równie ważne, co inwestycje w technologie. W końcu to ludzie, wyposażeni w odpowiednią wiedzę i narzędzia, tworzą najistotniejszą linię obrony przed atakami z zewnątrz.