Фінансова енциклопедія

Атака ланцюга поставок

Що таке атака на ланцюжок поставок?

Атака ланцюга поставок – це кібератака, яка намагається завдати шкоди компанії, використовуючи вразливі місця в її мережі ланцюгів поставок. Атака ланцюга поставок тягне за собою постійні процеси злому або проникнення в мережу, щоб отримати доступ до мережі фірми, щоб спричинити зриви або відключення, що врешті-решт завдає шкоди цільовій компанії.

Взаємозв’язок ланцюгів поставок підвищує ризик.У 2020 році Accenture вказав, що 40% кібератак походять з розширеного ланцюжка поставок.

Ключові винос

  • Атака ланцюга поставок має на меті проникнути та порушити комп’ютерні системи ланцюга поставок компанії, щоб завдати шкоди цільовій компанії.
  • Ідея полягає в тому, що ключові постачальники або постачальники компанії можуть бути більш вразливими до атак, ніж основна ціль, що робить їх слабкими ланками в загальній мережі цілі.
  • Атаки в ланцюгах поставок можуть бути більш звичними, ніж атаки на первинні цілі, і можуть виникати через спроби злому або шляхом вставлення шкідливого програмного забезпечення.

Розуміння нападів на ланцюги поставок

Мережа ланцюгів поставок є частою мішенню для кіберзлочинів, оскільки слабка ланка в ланцюгу поставок може надати кіберзлочинцям доступ до більшої організації, яка перебуває на зберіганні даних, що шукаються. Атаки на ланцюгах поставок розкривають загадку в мережі постачальників компанії, яка свідчить про те, що контроль кібербезпеки організації є настільки ж потужним, як контроль найслабшої сторони в мережі.

Впровадження різних форм нових технологій призвело до величезного обсягу даних у різних формах. Завдяки таким ресурсам, як Інтернет, стільникові телефони та хмарні обчислення, компанії тепер можуть отримувати дані в електронному вигляді та ділитися ними зі своїми партнерами та сторонніми постачальниками. Такі організації, як приватні особи, підприємства та уряди, вважають, що відповідну інформацію, яка може бути видобута з набору даних, може бути використана для кращого вдосконалення їхніх операцій та процесів, а отже, для покращення залучення клієнтів. Але обмін даними, що проводиться між різними компаніями, призводить до певного рівня ризику, який тягне за собою кіберкрадіжки. Складні кіберзлочинці також усвідомлюють важливість даних, що зберігаються компаніями, та стратегій пристроїв для отримання доступу до конфіденційних даних. 

Прагнення мінімізувати експлуатаційні витрати завдяки технологічному прогресу призвело до необхідності мережі постачання.Мережа поставок компанії, як правило, складається із сторонніх організацій, таких як виробники, постачальники, обробники, вантажовідправники та покупці, всі вони беруть участь у процесі надання продукції доступній кінцевим споживачам.Оскільки цільова компанія може мати систему безпеки, яка може бути непроникною навіть для досвідчених кіберзлочинців, атаки в ланцюгу поставок здійснюються на сторонні сторони, що входять до мережі, які, як вважають, мають найслабші внутрішні заходи та процеси.Як тільки протоколи безпеки одного члена виявляються слабкими, вразливість члена стає ризиком цільової компанії.

Інший спосіб атаки на ланцюжок поставок – це зловмисне програмне забезпечення, відоме в народі як шкідливе програмне забезпечення. Вбудовуючи шкідливі програми, такі як хробаки, віруси, шпигунське програмне забезпечення, троянські коні, а також підроблені компоненти, що модифікують вихідні коди програмного забезпечення виробника, кібер-зловмисники можуть отримати доступ до файлів цільової компанії та викрасти її власну інформацію.

Приклад нападів на ланцюг поставок

Є кілька способів атакувати ланцюг поставок.Викрадення повноважень продавця може призвести до проникнення компаній, пов’язаних із постачальником.Наприклад, Target стала жертвою нападу на ланцюжок поставок у 2013 році. Його заходи безпеки були порушені, коли було порушено одне із повноважень третьої сторони безпеки.Вхідні дані зазвичай включали логін, паролі та доступ до мережі до комп’ютера Target.Сумнівна практика безпеки постачальника дозволила хакерам отримати доступ до системи Target, що призвело до крадіжки 70 мільйонів особистих даних клієнтів.  Наслідки порушення призвели до відставки генерального директора та величезних витрат для компанії, яка досягла 200 мільйонів доларів.