Raport „Krajobraz zagrożeń dla ataków na łańcuchy dostaw” autorstwa Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) mapuje główne ataki na łańcuchy dostaw w okresie od stycznia 2020 r. do lipca 2021 r. W badaniu przeanalizowano 24 ostatnie przykłady ataków na łańcuch dostaw, aby zilustrować podatność na cyberbezpieczeństwo.
Termin „łańcuch dostaw” jest używany do określenia ekosystemu procesów, ludzi, organizacji i dystrybutorów, zaangażowanych w różne etapy rozwoju produktu. Ataki na łańcuch dostaw to cyberataki, które mają na celu wyrządzenie szkody organizacji poprzez ukierunkowanie na mniej bezpieczne elementy łańcucha dostaw.
Ewolucja ataków na łańcuch dostaw
Ataki na łańcuch dostaw nie są nowym problemem bezpieczeństwa; jednak społeczność międzynarodowa jest nękana przez znacznie bardziej zorganizowane i wyrafinowane ataki od początku 2020 roku. Przewiduje się, że ta niekorzystna tendencja, odnotowana w 2020 r., utrzyma się przez cały rok 2021, wywierając na organizacje jeszcze większy wpływ. W rzeczywistości ENISA szacuje, że w 2021 roku będzie 4 razy więcej ataków na łańcuch dostaw w porównaniu z rokiem poprzednim. Im lepiej organizacje są chronione przed cyberatakami, tym bardziej uwaga przesuwa się na dostawców, którzy szybko stają się najsłabszym ogniwem łańcucha. Dotyczy to w szczególności dostawców usług w chmurze i dostawców usług zarządzanych, gdzie ostatnie ataki podkreślają zwiększoną potrzebę kontroli cyberbezpieczeństwa w tych sektorach. Raport analizuje różne incydenty, aby zaoferować zalecenia dotyczące nowych metod i podejść do kwestii cyberbezpieczeństwa, które uwzględniają dostawców w zarządzaniu ryzykiem cybernetycznym w łańcuchu dostaw.
Rodzaje ataków na łańcuchy dostaw
Atak na łańcuch dostaw może zdarzyć się w każdej branży – od sektora finansowego, przemysłu naftowego, po sektor rządowy. Szczególnie w przypadku oprogramowania, ataki na łańcuch dostaw podważają zaufanie do ekosystemu oprogramowania. Ataki na łańcuch dostaw mogą być skomplikowane, wymagają starannego planowania, a ich wykonanie często zajmuje miesiące lub lata. Poniższy rysunek przedstawia główne techniki ataków, które mogą mieć konsekwencje dla wszystkich organizacji w łańcuchu dostaw.
Około 58% ataków na łańcuch dostaw miało na celu uzyskanie dostępu do danych (głównie danych klientów, w tym danych osobowych i własności intelektualnej), a około 16% – do osób. W 62% przypadków techniką ataku było złośliwe oprogramowanie.
Pełne wnioski i najważniejsze elementy sprawozdania są dostępne na stronie internetowej ENISA w formacie PDF.
© Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), 2021 r.
(Brak głosów)