Digitale verdikjedeangrep – en økende trussel mot det svakeste ledd

Angrep på virksomheters digitale verdikjeder har vært en kjent trussel over lang tid, men det siste året har antallet organiserte angrep mot slike verdikjeder økt betraktelig, og da svært ofte mot «det svakeste leddet» i kjeden.

I rapporten «Threat Landscape for Supply Chain Attacks» forventer The European Union Agency for Cybersecurity (ENISA) en firedobling av angrep mot digitale verdikjeder i 2021 sammenlignet med 2020, og varsler at en sterk cybersikkerhetsbeskyttelse av egen organisasjon ikke lengre er tilstrekkelig, ettersom angriperne stadig oftere angriper hovedmålene sine gjennom svakt sikrede leverandører.

Det sofistikerte SolarWinds-angrepet som rammet tusenvis av organisasjoner, alt fra føderale departementer i USA til norske virksomheter, er et eksempel på et slikt verdikjedeangrep. Et annet eksempel er Kaseya-angrepet som stengte ned over 800 svenske Coop-butikker i sommer. Lista over slike angrep er dessverre lang og er ventet å bli enda lengre.

Manger på risikoforståelse

Mange virksomheter forstår ikke omfanget av verdikjedeangrep og hvor attraktive brikker de er i det store puslespillet. Ta for eksempel virksomheter med tilgang til deler av infrastrukturen til kundene sine eller leverandører som leverer programvare. Disse ser kanskje på egen sikkerhet og hvordan de kan styrke denne, men tenker de like mye over virksomhetens rolle i kjeden og ser ikke på seg selv som særlig attraktive mål.

ENISA fant at i 66 prosent av angrepene utnyttet angriperne leverandørers programvarekode for å kompromittere de endelige målene. Norske virksomheter bør derfor evaluere og stille krav til alle sine leverandører, slik at leverandørene deler risikoforståelsen med virksomheten, tar nødvendige grep og benytter en sikker utviklingsmetodikk.

Digital verdikjede

En verdikjede er et økosystem av prosesser, mennesker, organisasjoner og distributører som samhandler for produksjon og distribusjon av et produkt eller tjeneste. En digital verdikjede anses også som et økosystem, men mer som en verdiskapningsprosess som består av maskinvare, programvare, ulike lagringsmedium (sky, lokalt) og distribueringsmekanismer (webapplikasjoner, nettbutikker).

Et angrep mot en digital verdikjede er en kombinasjon av minst to angrep. Angrepet retter seg først typisk mot en leverandør, gjerne identifisert som et av de svakere leddene. Videre blir denne leverandøren brukt til et målrettet angrep på hovedmålet, kunden og dens digitale verdier. I mer komplekse verdikjedeangrep kan flere underleverandører angripes i tur og orden før de kriminelle til slutt når hovedmålet.

Det er ingen hemmelighet at angripere velger letteste vei til målet. Etter hvert som den digitale sikkerheten tas mer på alvor og virksomheter forbedrer forsvarskapasitetene, ser angripere sine snitt til å utnytte andre, og svakere, ledd i verdikjeden. Et angrep mot en liten lokal underleverandør kan dermed føre til omfattende konsekvenser for store globale konsern. På samme måte som at data utveksles gjennom verdikjeden kan også skadevare forplante seg.

I ENISA-rapporten fremkommer det at skadevare var brukt for å kompromittere kunder av leverandører i 62 prosent av de analyserte angrepene.    

Komplekse, ressurskrevende og langvarige

Det er vår erfaring at et vellykket angrep er avhengig av sårbarhetsflater, en tydelig handlingsplan og forsiktig utførelse. Det er med andre ord profesjonelle aktører, ofte statssponsede, motivert av økonomisk vinning, ideologi, nasjonale og politiske interesser som utgjør den største trusselen. Rundt 50 prosent av de analyserte angrepene er tilknyttet kjente Advanced persistent threat (APT)-grupper.

I rundt 58 prosent av angrepene ble kundedata, primært personopplysninger og immaterielle verdier, kompromittert. I 66 prosent av angrepene visste ikke leverandøren, eller var ikke åpen om, hvordan de ble kompromittert. Dette er bekymringsverdige tall og illustrerer virksomheters mangel på bevismateriale og manglende evne til å både oppdage og analysere slike angrep.

Med digitalisering i rekordfart har vi etablert lange og komplekse systemer og avhengigheter på tvers av virksomhets- og landegrenser. Manglende kontroll og oversikt over disse gjør norske virksomheter veldig sårbare mot verdikjedeangrep.

Konsekvensene og kjedereaksjonene ved et verdikjedeangrep kan være enorme, som for eksempel nedetid på kritiske systemer, store finansielle tap, tap av immaterielle verdier, tap av strategi og forretningsplaner og ikke minst et potensielt vedvarende omdømmetap. Den ødeleggende kraften angrep på verdikjeder og ringvirkningene det har, fikk vi for alvor erfare i SolarWinds-angrepet i 2020 som rammet rundt 18 000 virksomheter rundt omkring i verden.

ENISA advarer i sin rapport at det ikke lenger er tilstrekkelig å bare sikre sin egen virksomhet, men at man må ta hensyn til de digitale verdikjedene og avhengighetene som følger med. Forskningen viser at etter hvert som de store og attraktive målene blir flinkere til å sikre seg mot cybertrusler velger angriperne å gå veien om svakere ledd i verdikjeden for å infiltrere hovedmålene. Informasjonsverdier flyter på tvers av virksomheter i verdikjedene, så for å oppnå tilstrekkelig sikkerhet er det viktig å forsikre seg om at alle ledd i verdikjedene har implementert nødvendige tiltak for cybersikkerhet.   

Fem råd for å sikre virksomheten mot verdikjedeangrep:

• Etabler en oversikt over virksomhetens verdier, verdikjeder og avhengigheter.

• Hold deg oppdatert på det digitale trusselbildet mot din virksomhet, og sørg for at nødvendige sikkerhetsmekanismer og organisatoriske prosesser iverksettes.

• Still sikkerhetskrav til leverandører og underleverandører (eks. styringssystem for informasjonssikkerhet, metode for sikker utvikling, segregering mot andre kunder, sikkerhetsovervåkning mm.) gjennom kontrakter og leverandøravtaler, og påse at produkter og tjenester leveres etter avtalt sikkerhetsnivå.

• Gjennomfør opplæring av egne ansatte, leverandører og underleverandører om trusler og trender knyttet til digitale verdikjeder.

• Etabler et beredskapsplanverk basert på trusselbildet og øv på relevante scenarioer.

Adshayan Karunananthan og Ulrik Einarson Kirkbak, Watchcom

Kilder:

European Union Agency for Cybersecurity (ENISA): Threat Landscape for Supply Chain Attacks, Juli 2021.

NorSIS: Trusler og Trender 2021

NSM: Risiko 2021 - helhetlig sikring mot sammensatte trusler