LUCA URCIUOLI
Wykładowca zarządzania łańcuchem dostaw Programu MIT-Zaragoza
Zagrożenia cybernetyczne w łańcuchu dostaw coraz bardziej niepokoją firmy. Tylko w 2021 roku eksperci w zakresie bezpieczeństwa cyfrowego odnotowali wzrost cyberataków i naruszenia danych o 15,1% w stosunku do roku ubiegłego. Prognozuje się, że liczba ta nadal będzie wzrastać ze względu na dominujące trendy, takie jak przemysł 4.0 oraz digitalizacja procesów, za którymi podążają firmy na całym świecie. Sektory przemysłowe oraz rządy muszą odpowiednio reagować na te trendy, zapewniając wdrażanie rozwiązań i strategii pozwalających zwiększyć bezpieczeństwo i wzmocnić cały łańcuch dostaw.
Motywy cyberataków
Przyczyny cyberataków mogą być bardzo zróżnicowane, jednak trzy wyróżniają się najbardziej: względy ekonomiczne, ideologiczne i geopolityczne. Problemy związane z bezpieczeństwem, takie jak kradzież i oszustwa w łańcuchu dostaw, nie są niczym nowym dla firm. Jednak wzmocnienie ochrony za pomocą środków bezpieczeństwa fizycznego może powodować przeniesienie ataków na bardziej wrażliwe obszary, w szczególności na systemy informatyczne. Poprzez cyberataki, takie jak przetwarzanie i kopiowanie danych lub sabotaż urządzeń bezpieczeństwa, organizacjom przestępczym znacznie łatwiej jest dokonywać kradzieży pieniędzy czy innych rodzajów aktywów, a także popełniać przestępstwa przeciwko własności intelektualnej.
W niektórych przypadkach ataki są popełniane na podstawie konkretnych ideologii, jest to tzw. haktywizm – wysyłanie wiadomości w celu zakłócenia spokoju, swoistego wymierzenia kary. Przykładowo odnotowano cyberataki mające na celu potępienie działań branż nieprzestrzegających zasad zrównoważonego rozwoju. Za atakami może stać również terroryzm i ideały religijne, wtedy atak ma na celu ukaranie danej grupy społecznej, a nawet pogrążenie w strachu i panice całego kraju.
Wreszcie napięcia geopolityczne mogą również przerodzić się w wojny cybernetyczne, gdy celem hakerów jest wyrządzenie szkody i zaburzenie istotnych funkcji społeczeństwa. W ostatnim czasie włoskie firmy energetyczne uległy cyberatakom, które doprowadziły do przerw w dostawie prądu i gazu. Ponadto hakerzy mogą wykradać poufne informacje danego kraju lub korzystać z kanałów medialnych i komunikacyjnych do celów propagandowych zmierzających do osłabienia istniejących systemów.
Charakterystyka ataków na łańcuchy dostaw
Cyberzagrożenie stanowi każde postępowanie mające na celu realizację nielegalnych działań wobec osób bądź organizacji za pośrednictwem komputerów, sieci internetowej lub innych urządzeń. Firmy mogą być narażone na przejęcie nie tylko poufnych danych pracowników, klientów lub dostawców, ale także własności intelektualnej, takiej jak nowe projekty produktów.
Cybernetyczne wykroczenia mogą powstrzymać działalność każdej firmy, wpływając na wydajność, sprzedaż, realizację zamówień i zadowolenie klientów. W bardzo ekstremalnych przypadkach hakerzy zdolni są do operowania sterownikami PLC (Programmable Logic Controller) zakładów produkcyjnych, co może negatywnie wpłynąć na jakość i reputację marki, a nawet generować problemy bezpieczeństwa społecznego.
Odosobnione ataki
W przeszłości hakerzy powodowali szkody, atakując izolowane ogniwa łańcucha dostaw. Przykładowo 4 grudnia 2020 roku grupa hakerów zaatakowała PickPoint – firmę specjalizującą się w dostarczaniu zamówień online przez terminale paczkowe i punkty odbioru. Firma posiadała sieć 8000 automatów w przestrzeni publicznej na terenie Moskwy i Petersburga. Poprzez cyberatak doszło do otwarcia 2732 skrytek w Moskwie i kradzieży ich zawartości. Wydarzenie to ukazało niedoskonałości ostatniego ogniwa łańcucha dostaw.
Ataki powiązane z przejęciem danych
Inną techniką atakowania łańcucha dostaw jest użycie złośliwych programów mogących zainfekować komputery. W 2017 roku wirus NotPetya naruszył system zabezpieczeń holdingu logistycznego Maersk i rozprzestrzenił się, infekując ponad 200 000 komputerów w 150 krajach i powodując straty obejmujące miliardy dolarów. Gdy Maersk zdał sobie sprawę, jak szybko wirus roznosi się w kręgu partnerów i klientów, postanowił odłączyć całą sieć na trzy dni. W rezultacie terminale portowe musiały wstrzymać działalność, pozostawiając tysiące statków czekających w dokach lub na morzu.
Wirus NotPetya używał podobnego mechanizmu co oprogramowanie WannaCry, blokując dostęp do komputerów, na których pojawiał się komunikat o naprawie systemu plików na dysku C. Ukazywała się również informacja o możliwości odblokowania komputera za odpowiednią opłatą. Maersk zdołał odbudować całą infrastrukturę IT w 10 dni i stopniowo przywrócić jej działanie. Szacuje się jednak, że firma poniosła straty w wysokości 300 milionów dolarów i niewymierne straty w reputacji, głównie w wyniku doniesień medialnych.
Ataki w łańcuchu dostaw
W ostatnich latach cyberataki stały się bardziej złożone, większa jest również świadomość znaczenia łańcucha dostaw atakowanych organizacji wśród ich sprawców. W konsekwencji wiele dużych firm wzmocniło ochronę przed cyberatakami. Hakerzy odkryli jednak, że mniejsze firmy, stanowiące część tego samego łańcucha dostaw, są bardziej podatne na ataki i mogą posłużyć za trampolinę do zaatakowania swoich dostawców lub klientów. Cybereksperci stworzyli termin „supply chain attack” do określenia tego typu zdarzeń.
Przykładowo w 2020 roku hakerom udało się wkraść do systemów SolarWind – dostawcy oprogramowania do obsługi łańcucha dostaw. Wprowadzili wirusa znanego jako backdoor (trojana działającego w ukryciu) do oprogramowania Orion używanego przez SolarWind, narażając dane, sieci i systemy wszystkich firm korzystających z tego oprogramowania. Włamanie to dotknęło ponad 18 000 organizacji i uważa się, że skompromitowało dziewięć agencji federalnych i sto firm z sektora prywatnego. Najbardziej niepokojącym aspektem jest to, że hakerzy pozostali niezauważeni przez kilka miesięcy, prawdopodobnie wykradając i ujawniając ogromne ilości danych. Nie był to odosobniony atak, podobne incydenty miały miejsce w maju i lipcu 2021 roku, gdy doszło do cyberataków odpowiednio na Colonial Pipeline (głównego operatora rurociągów w Stanach Zjednoczonych) oraz firmę Kaseya (dostawcę usług zarządzania IT).
Ważne kroki w celu ochrony łańcuchów dostaw przed cyberzagrożeniami
Oczywiste jest, że łańcuchy dostaw i obecne trendy, takie jak automatyzacja i cyfryzacja, przynoszą wiele korzyści przedsiębiorstwom i społeczeństwu. Naukowcy wielokrotnie wykazali, że technologie te mogą znacząco poprawić między innymi produktywność, rentowność operacji, czas wprowadzania produktów na rynek i odpowiadanie na potrzeby klienta.
Wymiana informacji, która ma miejsce w całym łańcuchu dostaw, zmniejsza efekt byczego bicza, pomaga menedżerom zoptymalizować zapas zabezpieczający i zsynchronizować przepływ towaru. Uczestnicy powinni dzielić się również informacjami takimi jak projekty nowych produktów czy inne dokumenty wewnętrzne związane ze strategicznymi programami rozwoju dostawców. Wszystko to przyczynia się do wzrostu konkurencyjności łańcucha dostaw oraz zwiększenia udziału w rynku.
Środki cyberbezpieczeństwa
Wzajemna relacja między podmiotami powinna zostać wzmocniona specjalistyczną ochroną przed cyberatakami na całej długości łańcucha dostaw. Innymi słowy, organizacja nie może sama chronić swoich operacji i sprzętu bez zaangażowania wszystkich dostawców i specjalistów IT ds. bezpieczeństwa.
Istnieją standardy i certyfikaty wspierające organizacje chcące zwiększyć swoją ochronę przed cyberzagrożeniami, takie jak międzynarodowa norma ISO/IEC 27001 oraz NIST 800-55 Narodowego Instytutu Norm i Techniki – federalnej agencji Departamentu Handlu Stanów Zjednoczonych. Norma ISO/IEC 27001 obejmuje kilka procedur kontrolnych mających na celu zapewnienie bezpieczeństwa technologii informacyjno-komunikacyjnych. Procedury te obejmują między innymi kontrolę dostępu, bezpieczeństwo fizyczne, pozyskiwanie systemów, procedury utrzymania i relacje z dostawcami. Norma NIST 800-55 określa rygorystyczną metodologię identyfikacji i pomiaru wpływu kontroli bezpieczeństwa w trzech kategoriach: wdrożenie, wydajność i skuteczność oraz środki wpływu organizacyjnego.
Instytut NIST opracował przewodnik Cybersecurity Supply Chain Risk Management (C-SCRM) practices traktujący o cyberbezpieczeństwie w łańcuchu dostaw ze szczególnym uwzględnieniem kwestii związanych z zaopatrzeniem, zawieraniem umów z dostawcami oraz wymianą informacji. Działania takie jak wybór dostawców, ofert, zapytań ofertowych, ocena ofert i warunków umowy powinny być prowadzone zgodnie z ustalonymi wymogami cyberbezpieczeństwa.
Wzajemne połączenie między podmiotami logistycznymi musi zostać wzmocnione specjalistyczną ochroną uniemożliwiającą atak na całej długości łańcucha dostaw
Oczekuje się również, że audyt i monitorowanie działalności dostawców pozwolą zintegrować zagrożenia cyberbezpieczeństwa oraz że poddane będą ponownej ocenie procedury współpracy z dostawcami w celu ustalenia postępowania łagodzącego szkody w przypadku wykrycia naruszenia. Przewodnik NIST oferuje także podnoszenie świadomości i kwalifikacji personelu z zakresu przepisów i umów dotyczących udostępniania, publikowania i wykorzystywania informacji, ochrony danych lub stałego wsparcia wszelkiego rodzaju informacji udostępnianych dostawcom.
Ochrona danych konsumentów
Kolejna kluczowa odpowiedzialność firm związana jest z ochroną danych konsumentów w całym łańcuchu dostaw. Firmy działające w sektorze e-commerce i retail muszą posiadać systemy zabezpieczające informacje klientów, aby uniemożliwić hakerom przeprowadzanie ataków oraz kradzież tożsamości lub kart kredytowych (jak np. przejęcie danych milionów kart kredytowych powiązanych ze stroną PlayStation firmy Sony). Dla społeczeństwa prywatność jest synonimem zaufania, szacunku i wolności myśli. A co najważniejsze – ogranicza władzę polityczną, w myśl zasady: „im więcej ktoś o nas wie, tym większą może mieć nad nami władzę”. Dlatego ochrona danych jeszcze bardziej zyskuje na znaczeniu z punktu widzenia geopolityki i bezpieczeństwa narodowego, gdy przykładowo wykorzystywana jest do wdrażania strategii propagandowych przez grupy hakerów.
Kraje europejskie intensywnie pracują nad opracowaniem ram prawnych mogących zagwarantować ochronę danych osobowych. Strony internetowe lub aplikacje, takie jak sklepy internetowe, cyfrowe przestrzenie do nauki lub aplikacje transportowe, często wymagają podania danych osobowych w celu rejestracji. Ogólne rozporządzenie o ochronie danych osobowych (RODO) obowiązujące w Unii Europejskiej (UE) 2016/679 określa rygorystyczne zasady ochrony tych danych, ustanawiając wytyczne dotyczące „przetwarzania przez osoby fizyczne, przedsiębiorstwa lub organizacje danych osobowych dotyczących osób fizycznych w UE”.
Zgodnie z RODO dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Jednak istniejące przepisy nie zostały opracowane w celu zarządzania operacjami związanymi z inteligentnym systemem transportowym, dlatego w nadchodzących latach możliwe są zmiany w zakresie nowych norm prawnych.
Podsumowując, cyberbezpieczeństwo odgrywa kluczową rolę w procesie transformacji, jaką przechodzi łańcuch dostaw w przemyśle 4.0. Zarządy firm muszą stawić czoła tym wyzwaniom, opracowując nowe strategie zgodne z modelem cyberbezpieczeństwa znanym jako Zero Trust (sieci z zerowym zaufaniem), a także systemy umożliwiające wykrywanie i reagowanie na cyberataki.
Bezpieczeństwo cybernetyczne wymaga poprawy i rozszerzenia na cały łańcuch dostaw, a także na jego funkcje wewnętrzne. Dostępne są już istniejące standardy do wdrażania środków bezpieczeństwa w całym łańcuchu dostaw pozwalające wyeliminować słabości systemu, które mogłyby zostać wykorzystane przez hakerów w celu przeprowadzenia ataku.
Doktor Luca Urciuoli jest adiunktem w Międzynarodowym Programie Logistycznym MIT-Zaragoza, a także profesorem nadzwyczajnym w Królewskim Instytucie Technicznym (KTH) w Sztokholmie oraz pracownikiem naukowym w Centrum Transportu i Logistyki MIT.
Bibliografia
- Boyens, Jon M. 2022. Cybersecurity Supply Chain Risk Management for Systems and Organizations.
- Desai, Avani. n.d. Council Post: The Urgent Concern That Boardrooms Must Brace for in 2022: Supply Chain Cyberattacks. Forbes. Accessed September 14, 2022.
- EU Data Protection Rules. 2019. European Commission. 2019.
- Kaspersky. 2019. What Is Cyber Security? Kaspersky.com. 2019.
- Levy-Bencheton, Cédric, and Eleni Darra. 2015. Review of Cyber Security and Resilience of Intelligent Public Transport. Good Practices and Recommendations. Edited by European Union Agency for Network and Information Security (ENISA). ENISA Reports, December.
- Oladimeji, Saheed, and Sean Michael Kerner. 2022. SolarWinds Hack Explained: Everything You Need to Know. WhatIs.com. June 29, 2022.
- PlayStation Network: Hackers Claim to Have 2.2m Credit Cards. 2011. The Guardian. April 29, 2011.
- Protection of Personal Data and Privacy. n.d. Www.coe.int.
- Solove, Daniel J. 10 Reasons Why Privacy Matters. TeachPrivacy. January 20, 2014.
- Supply Chain Attack Examples.” n.d. Www.ncsc.gov.uk.
- Urciuoli, Luca, Toni Männistö, Juha Hintsa, and Tamanna Khan. 2013. “Supply Chain Cyber Security – Potential Threats.” Information & Security: An International Journal 29: 51–68.
- Walton, Hilary. n.d. The Maersk Cyber Attack - How Malware Can Hit Companies of All Sizes. Www.kordia.co.nz. Accessed September 14, 2022.