În prima parte a emisiunii s-a stabilit ce înseamnă de fapt lanțul de aprovizionare (supply chain) și care este legătura acestuia cu securitatea cibernetică.

Oana Buzianu, vicepresedinte Wintech, a explicat că: ”Să zicem este un lanț de aprovizionare care constă dintr-un sistem este de fapt un sistem compus din organizații, oameni, activități, resurse, informații, toate furnizează produse sau servicii consumatorilor.
La fel ca și alte bunuri există un lanț de aprovizionare de securitate pentru dezvoltarea componentelor și echipamentelor hardware și software adică cele necesare în tehnologia informației care ar trebui și de multe ori sunt identificate și gestionate corect de către companii tocmai pentru a și proteja interesele și pentru a i proteja și pe clienți și pe utilizatorii finali.

În mediu de acum, de astăzi, extrem de globalizat nici o companie nu nu este izolată și nu e o insulă, este parte dintr un ecosistem care cuprinde un număr foarte mare de entități cu care compania desfășoară activități comerciale. 

Cum am spus clienți angajați parteneri, furnizori de materiale și furnizori de servicii. Împreună toate constituind organizația extinsă. Dacă iau în considerare câteva scenarii cum ar fi de pildă un furnizor externalizat decide să iasă din afacere trimițând pe ultima sută de metri o notificare minimă. Ce fac mai departe sau ce fac în situația în care un contractant cu un furnizor contractat nu livrează marfa la timp și mă pune într-o situație delicată și dificilă față de clienții mei și până la urmă îmi afectează și numele sau reputația companiei. Poate un alt client nemulțumit de produsele companiei mele mă compromite pe o rețea media sau pe o rețea socială”. 

Oana Buzăianu a subliniat că: ”Sunt niște situații care au fost și care cu siguranță se vor repeta și care au un anumit grad de importanță și care reprezintă o problemă de gestionare a riscului în compania a ceea ce înseamnă că eu trebuie să lucrez continuu, să pregătesc ca și companie toate aceste riscuri, prin responsabilitate prin prioritizare, prin gestionare și prin actorii implicați la nivel de companie chief risk officer sau managerul de risc și financial officer adică directorul financiar, care are un cuvânt important de spus, și nu în cele din urmă Chief Information Security Officer principalul pion, sau principalul actor, care are obligația asigurării că infrastructura IT sprijină business-ul organizației care trebuie să minimizeze riscul în mediul IT, care trebuie să evalueze, care trebuie să comunice impactul mediului IT mediului de business”.

Mai departe, Sergiu Zaharia, a vorbit despre atacurile cibernetice din ultimul timp, exemplul concret fiind cel al companiei SolarWinds care a suferit atacuri pe vulnerabilități asociate temei de discuție, respectiv a unor vulnerabilități pe acest concept de supply-chain.

Sergiu Zaharia, Cyber Security and Privacy Officer Huawei Romania & Moldova, a spus că: ”SolarWind este doar unul dintre atacurile mediatizate, chiar recent, în iulie anul acesta, ENISA a scos un raport cu atacurile de tip supply-chain bazate pe. cele mai mari evident din lume undeva la 24 de atacuri în anii 2020 și jumătatea lui 2021 și analiza cauzele acestor atacuri. Dar pentru a răspunde la întrebare trebuie să ne gândim că un atac de tip supply-chain presupune două atacuri. Un atac asupra furnizorului și al doilea atac asupra țintei. Adică prin furnizor atacă ținta. De asta îl numim supply-chain, este un lanț. Ce a rezultat din raport ENISA este foarte interesant. La nivelul furnizorului, undeva la 66% dintre metodele de atac sunt necunoscute. Deci furnizorul nu știe ce l-a lovit. Pe de altă parte, din partea furnizorului către organizația țintă, care să zicem că este sus în lanțul trofic, au fost două tipuri de atacuri sau de metode, cele mai importante, în proporție de 60 și ceva la sută fiecare pentru el ele pot fi de ambele categorii. Prima și cea mai importantă aș zice, în engleză îi zice ”trust relationship” deci încrederea pe care o ai în furnizorul tău.

Asta e prima și a doua pondere egală malware: viruși troieni, backdoor ș.a.m.d. Toate aceste atacuri arată ceva, că furnizorii au o maturitate în zona de cyber security, în general, mult mai scăzută decât a organizațiilor ținte. Dar ca să răspund la întrebare, ceea ce a contat cel mai mult a fost lipsa de maturitate a furnizorilor în zona de Cyber Security pentru că ei nici măcar nu știu ce i-a lovit. Dar asta înseamnă că nu ai vizibilitate deci nu poți să te protejezi împotriva a ceea ce nu vezi sau nu înțelegi. Și încă un lucru important, undeva spre 70% a fost țintit codul sursa la aplicațiile software ale furnizorilor atunci când a fost atacat organizația. Deci aș putea spune că dacă ne uităm strict pe raportul ENISA software-ul produs de furnizori și lipsa de maturitate a acestora în zona de cyber a fost cumva cauza principală a atacurilor acestea foarte mediatizate din ultima vreme, din ultimii sa zicem doi ani de zile”.

La întrebarea când identifică victimele că au fost lovite de un atac cibernetic, Oana Buzăianu a zis că: ”Prea târziu” și a continuat explicând și dând din nou exemplul SolarWinds că: ”Malware-ul din atacul SolarWinds a pătruns în inima companiei țintite modificând un colț al unui fișier sau mai multe coduri și putând să preia controlul asupra companiei, eu zic că acolo fie nu stat tratat corespunzător un asemenea risc. Deci managementul riscului a fost tratat superficial, fie s-au gândit că nu li se poate întâmpla, pentru că dacă s-ar fi aplicat principiul minimului privilegiu în toate punctele cheie despre care a vorbit și Dan Zaharia, deci punctele unde se scrie și se dezvoltă cod poate s ar fi împiedicat acel. Lateral movement adică atacatorul nu ar fi putut să-și ducă la bun sfârșit atacul. Sau poate că șansele să fie expus ar fi fost mult mai mari și obținerea de privilegii ar fi fost întârziată sau nu s-ar fi întâmplat.

Deci un hacker sau un grup de hackeri care poate să aibă acces la aplicații la servicii la datele companiei spune că poate ocoli de fapt orice fel de autentificare și poate să dețină controlul deci poate deveni în fața clienților însăși compania pe care a țintit-o.  Zic eu că aici este foarte importantă implementarea unor politici și a unor controale puternice de securitate a identității, deci de restricție a acestui acces privilegiat în sistem, care cred că pot să reducă sau pot să detecteze timpuriu genul ăsta de atac și altele”.

La întrearea care sunt urmările și cum se pot remedia atacurile, Sergiu Zaharia a spus că: ”Se spune așa, că atacurile de gen Supply Chain, în cadrul organizațiilor care au un nivel de securitate destul de ridicat, adică investesc o grămadă de bani într-un framework de securitate, cele mai mari vulnerabilități din acele organizații sunt în alte organizații. Și e normal să fie așa pentru că, toți avem și noi discuția asta mai românească,  uneori vrei să te duci să obții un document, sau, mai știu eu, să obții ceva la de la nu știu o autoritate și încep să întreb ”cunoști pe cineva acolo, ai pe cineva?”. Da, adică încerc să faci bypass la procesele existente, utilizând un lanț de încredere niște oameni care cunosc pe alți oameni și ajung acolo ei. Așa funcționează și supply-chain. Organizațiile investesc sume fabuloase unele în programe de securitate, de zeci de milioane de euro sau de dolari, și sunt lovite printr un furnizor. Acum ar trebui să ne gândim un pic și la zona de soft, la codul sursa care este cel mai atacat și haideți să mergem un pic în zona producătorilor de automobile”. 

Sergiu Zaharia a mai povestit că: ”Citeam la un moment dat că codul sursă la soft-ul de pe o mașină smart, deci nu din aceea ultra-conectată, ultra-autonomă, cea din zilele noastre, ajunge ca soft-ul să aibă undeva la o sută de milioane, peste 100 de milioane de linii de cod. Dacă părintez asta pe A4, pe o singură coală, obții un număr de coli, înalt cam cât o sută de metri. La cât este Casa Presei are 104 metri. Deci imaginați-vă,  e suficient să găsești o vulnerabilitate într-una din paginile respective și deja poți compromite parțial sau total un autovehicul.

Dar, faza cea mai interesantă este că acest cod e dezvoltat doar parțial de creatorul mașinii. El este importat de la alți furnizori care iau librării de la alți furnizori, de la alți furnizori și așa mai departe. Și atunci, tu nu ai vizibilitate nu știi ce face celălalt furnizor. Și atunci măsurile pe care trebuie să le iei sunt cumva mai puțin de natură tehnică și mai mult de natură relațională, trebuie să discuți cu furnizorii. Să-i incluzi în partea ta de risk management, lucruri care încă nu se întâmplă”. 

Reprezentantul Huawei a mai vorbit despre un raport: ”A apărut un raport de curând, al unei firme de securitate, căreia nu o să-i dau numele, care spune în urma atacurilor gen SolarWind și a celorlalte atacuri, directori din top managementul, undeva la 98 la sută sau ceva de genul ăsta, sunt foarte îngrijorați vizavi de supply-chain, dar pe de altă parte n-au făcut mare lucru. Asta spune raportul respectiv. Și încă ceva, sunt cumva într-o dezbatere dacă departamentul de IT Security sau departamentul de dezvoltare software trebuie să trateze problema asta de supply chain, ceea ce e o eroare, pentru că asta e o problemă de management, dar încă este tratată ca o problemă tehnică. Are o rezolvare tehnică prin evaluări de securitate dar nu e o problemă tehnică, e o problemă de guvernanță și din cauza asta vedem atacuri”.

  Fiți la curent cu ultimele noutăți. Urmăriți DCBusiness și pe Google News

Ţi s-a părut interesant acest articol?

Urmărește pagina de Facebook DCBusiness pentru a fi la curent cu cele mai importante ştiri despre evoluţia economiei, modificările fiscale, deciziile privind salariile şi pensiile, precum şi alte analize şi informaţii atât de pe plan intern cât şi extern.