IT-teenuseid pakkuva OIXIO küberturbe ja võrgu ärisuuna juhi Andres Vallistu sõnul toimub küll Eestis tarneahelarünnakuid pigem vähe, kuid lähiaastatel ennustatakse nende tõusu.
Hiljuti toimusid tarneahelaründed mitme USA ja Euroopa taristuettevõtte vastu. Põhja-Korea toetatud häkkerite rünnakute põhjus on ekspertide hinnangul rahaline, aga nad tegelevad ka küberluurega. Rünnaku ohvrite nimesid pole avaldatud ja kardetakse, et tegelikke sihtmärke on rohkem kui praeguseks teada.
Vallistu kommenteeris, et ka Eestis on toimunud mitmeid taolisi rünnakuid, aga võrreldes teiste levinud ründemeetoditega, nagu õngitsemine, teenusekatkestus ja kompromiteerimine, on neid pigem vähe. “See on hea uudis, aga halb uudis on see, et 2023 ja edasi ennustatakse taoliste rünnakute tõusu,” märkis ta.
Suure mõjuga rünnakud
Tema sõnul on tarneahelarünnakud oma olemuselt väga ohtlikud, sest nende potentsiaalne mõju võib olla suur. “Selle asemel, et üksikuid ettevõtteid eraldi rünnata, võib olla pahalastel lihtsam kompromiteerida see tarkvara, mida need ettevõtted kõik kasutavad ning selle kaudu nende süsteemidele korraga ligi pääseda. Kaitstud ei ole keegi,” selgitas ekspert.
Vallistu tõi välja, et viimane taoline juhtum kodumaal leidis aset mõned nädalad tagasi, kui ühe IT hooldusteenuseid pakkuva ettevõtte kaudu saadi juurdepääs mitmesse Eesti ettevõttesse eesmärgiga paigaldada ettevõtete võrku pahvara, mis korjas kasutajate paroolide infot ja saatis selle ettevõttest välja.
Ta ütles, et tarneahelarünnakuid pannakse toime mitmel erineval moel. Näiteks võivad ründajad luua tagaukse mõnda laialt kasutusel olevasse tarkvarasse, mille abil saadakse ettevõtte süsteemidele juurdepääs.
Teine variant on, et ründajad kompromiteerivad süsteemi, mille eesmärk on rakendustarkvarale või seadmetele uuenduste jagamine, mis annab omakorda neile võimaluse manipuleerida klientidele jagatavate uuendustega ja seeläbi kompromiteerida ka klientide süsteemid.
Kolmas võimalus on Vallistu sõnul, et ründajad saavad juurdepääsu mõnele IT hooldusteenuseid pakkuvale ettevõttele. “Halvimal juhul, mis on paraku tihti reaalsus, võivad IT partneri ja kliendi võrgud moel või teisel ühendatud olla või omavad partnerid muul moel priviligeeritud juurdepääsu ettevõtte süsteemidesse, mis annabki ründajale võimaluse tungida läbi IT partneri teiste ettevõtete võrku eesmärgiga paigaldada sinna pahavara, krüpteerida või varastada andmeid,” rääkis ta.
Neljas variant on, et ründajad kompromiteerivad avaliku lähtekoodihoidla. “Repositoorium ehk hoidla on keskkond, mille kaudu on võimalik näiteks koodimuudatusi ülesse või alla laadida. Ründajal on võimalik lähtekoodihoidla kompromiteerida ja sinna lisada pahaloomuline koodijupp. Kõik, kes selle muudetud koodiga tarkvara endale alla laevad, võivad nakatuda pahavaraga. Ründajaks võib olla nii pahaloomuliste kavatsustega tarkvaraarendaja kui ka kolmas osapool, kes on saanud pearepositooriumile ligipääsu,” lisas Vallistu.
Mõned soovitused, mida peaksid ettevõtted tegema, et kaitsta end tarneahelarünnakute eest:
- Kindlasti on oluline pöörata turbeteemadele tähelepanu IT partnerite valikul, kuna IT partnerid omavad enamasti priviligeeritud juurdepääsu ettevõtte süsteemidesse. Küsige IT partnerilt, kuidas on nende ettevõttes küberturvalisus tagatud kas neil on võimalik öeldut ka kuidagi kinnitada (nt ISO27001 sertifikaat, teostatud riskianalüüs või turvaaudit). Sama nõue kehtib tegelikult mistahes partnerite valikult. Võimalusel hoiduge juurdepääsude andmisest või mõelge need vajadusel hoolikalt läbi.
- Kanna hoolt, et ettevõttes on süsteemne turvanõrkuste tuvastus ja regulaarne paikamine moel või teisel rakendatud. Kui autol läheb õlituli põlema, siis kas on mõistlik edasi sõita või valada õli juurde? Jah tõsi, võib ju lühiajaliselt edasi sõita, aga pikemalt sõites jookseb mootor kokku ja remont on kordades kallim, kui oleks olnud õigel ajal õli peale valamine. Sama printsiip kehtib ka turbes. Pigem lappida turvaauk kohe, mitte oodata, kui küberintsident aset leiab. Kohe tegeleda on kordades odavam kui hiljem!
- Rakendage turvaseiret ja talletage süsteemilogisid. Logid on hindamatu allikas! Logisid uurides saab teha kindlaks, kust rünnati või millist teadaolevat turvanõrkust ära kasutati ja mis kõige olulisem on võimalik kindlaks teha ka kahju ulatus või mida siis ettevõttest „välja tassiti“. Kui meil sellist teadmist ei ole, siis piltlikult võime küll lahti murtud uksele korraliku tabaluku panna, aga tegelikult võib olla süsteemis veel nõrku kohti, kust sisse pääseb ja ilma logideta ei pruugi me neist midagi teada saada enne, kui on jälle hilja.
- Juurdepääsuõiguste andmisel peaks lähtuma vähima õiguse printsiibist (kasutajad, teenuskontod). Veel parem on ettevõttes rakendada Zero Trust põhimõttel töötav turvalahendus. Selle abiga saab kaitsta võrku nii, et sinna pääseksid vaid usaldusväärsed kasutajad, usaldusväärsete seadmetega. Vaikimisi ei usaldata kedagi ega anta niisama ligipääsu ühelegi seadmele/kasutajale.
- Oluline on võrkude segmenteerimine. Näiteks eraldi võrk arvutitele, kontoriseadmetele, serveritele, IoT seadmetele, haldustegevusteks jne. Selliselt me saame ründaja poolt tekitavat võimaliku kahju minimeerida. Isegi, kui ründaja pääseb arvutite võrku, siis hästi segmenteeritud võrkude korral ei pääseks ta serverite võrku, kus annaks teha juba tunduvalt rohkem kahju.
- Dokumenteerige teenusepakkujad ja määratlege, millised riskid võivad kaasneda kolmanda osapoole tarkvara või riistvara kasutamisega.
Ärigeeniuse uudised sinu postkastis Ärigeeniuse uudiskiri toob sinuni valiku nädala olulisematest äriteemadest, põnevad persoonilood ja ekspertide soovitused.
