Kybernetická bezpečnost je dnes jedním z nejdiskutovanějších témat v IT světě. Velké firmy investují miliony do ochrany svých dat, zavádějí nejmodernější bezpečnostní technologie, školí zaměstnance a budují složité obranné mechanismy. Přesto se stává, že i ty největší korporace padnou za oběť hackerským útokům. Jak je to možné? Odpověď je jednodušší, než by se mohlo zdát – jejich bezpečnost není jen v jejich rukou. Ve chvíli, kdy firma spolupracuje s externími dodavateli, stává se součástí rozsáhlého ekosystému, který má tolik slabých míst, kolik má článků. A přesně tam hackeři útočí.

Nejčastějším terčem se tak nestává přímo velká firma s dokonalým zabezpečením, ale někdo z jejích dodavatelů – softwarová společnost, která poskytuje klíčové aplikace, firma starající se o cloudová úložiště nebo třeba poskytovatel IT podpory. Stačí, aby hacker pronikl do jejich systému, a má otevřené dveře k mnohem většímu cíli. Tento typ kybernetických útoků je známý jako Supply Chain útoky neboli útoky na dodavatelský řetězec. A v posledních letech se stávají jednou z největších hrozeb v digitálním světě.

Jak vypadá typický Supply Chain útok?

Největší záludnost těchto útoků spočívá v tom, že většina firem si vůbec neuvědomuje, že jsou v nebezpečí. Cítí se chráněné, protože mají špičkový firewall, dvoufaktorovou autentizaci a sofistikované bezpečnostní protokoly. Jenže když se útočník dostane k nim přes někoho jiného, všechny tyto ochrany přestávají dávat smysl.

Představte si například softwarovou firmu, která vyvíjí programy používané bankami. Banka si stáhne aktualizaci softwaru a nevědomky si spolu s ní nainstaluje i skrytý backdoor – neviditelná zadní vrátka, která hackerům umožní přístup do systému. Tato metoda byla použita při nechvalně známém útoku na SolarWinds v roce 2020. Hackeři se dostali do serverů společnosti SolarWinds a infikovali aktualizaci jejich softwaru Orion. Tisíce organizací, včetně amerických vládních agentur a velkých korporací, si tuto aktualizaci stáhly a nevědomky vpustily útočníky přímo do svého systému. Trvalo měsíce, než si někdo všiml, že se v jejich sítích děje něco podezřelého.

Zdroj: Shutterstock

Další oblíbenou metodou je kompromitace přístupových údajů dodavatelů. Velké firmy si dávají pozor na bezpečnostní opatření, ale jejich partneři často ne. Může se stát, že zaměstnanec malé IT firmy používá slabé heslo, nebo že přistupuje do systémů velké společnosti přes nezabezpečenou Wi-Fi v kavárně. Pokud se útočníkovi podaří získat jeho přihlašovací údaje, může se nepozorovaně dostat do systému velké firmy bez nutnosti složitého hackerského útoku.

Někdy jsou útoky na dodavatelské řetězce ještě jednodušší. Například pokud firma najme externí údržbáře nebo IT techniky, kteří fyzicky přistupují k jejím serverům. Stačí, aby technik připojil svůj notebook nebo USB disk s malwarem, a útok je na světě. V roce 2013 se například hackeři dostali do systémů řetězce Target tím, že kompromitovali firmu, která spravovala jejich klimatizaci. Tento zdánlivě nevinný dodavatel měl přístup do interních systémů Targetu a útočníci toho využili k masivnímu úniku dat.

Proč jsou útoky na dodavatelský řetězec tak nebezpečné?

Jednou z hlavních zbraní hackerů je trpělivost. Na rozdíl od běžných kybernetických útoků, které se snaží o rychlé zisky (například ransomware útoky, kde hackeři okamžitě zašifrují soubory a požadují výkupné), útoky na dodavatelské řetězce mohou probíhat měsíce nebo dokonce roky, aniž by si jich někdo všiml.

Jakmile útočníci získají přístup do systému přes napadeného dodavatele, obvykle neprovedou žádné viditelné změny. Místo toho monitorují síť, sbírají informace a hledají další cesty, jak se dostat hlouběji. Může se stát, že získají přístup k e-mailové komunikaci, databázím klientů nebo důležitým obchodním strategiím. A protože firma nepodezírá svého dodavatele, většinou si dlouho nevšimne, že se něco děje.

Zdroj: Shutterstock

Další velké nebezpečí spočívá v tom, že útoky na dodavatelský řetězec mají řetězový efekt. Pokud hackeři kompromitují jednoho dodavatele, mohou jeho infikované systémy použít k útokům na jeho zákazníky. Například pokud je napadena firma, která dodává software do nemocnic, mohou se útočníci nepozorovaně dostat do zdravotnických databází a krást citlivé údaje pacientů. To se přesně stalo v roce 2021, kdy byla napadena IT společnost Kaseya, což vedlo k rozsáhlému ransomwarovému útoku na její klienty po celém světě.

Jak se bránit?

Řešení tohoto problému není jednoduché, protože žádná firma nemůže stoprocentně kontrolovat bezpečnost svých dodavatelů. Existují ale způsoby, jak riziko minimalizovat.

Firmy by si měly vybírat dodavatele s přísnými bezpečnostními standardy a pravidelně provádět audity jejich systémů. Nestačí mít dobře zabezpečený vlastní systém – je nutné se ptát, jak jsou chráněni i všichni, kdo k němu mají přístup.

Důležité je také zavedení Zero Trust přístupu, tedy přístupu, kdy se žádný uživatel nebo zařízení nebere automaticky jako důvěryhodné. Každý přístup k systému by měl být ověřován, a to i v případě, že pochází od zaměstnance dlouholeté partnerské firmy.

Firmy by měly také sledovat, co se děje v jejich síti, a být schopné odhalit podezřelé aktivity. Pokud si někdo všimne, že se neznámý uživatel snaží přistupovat k citlivým datům nebo že dochází k neobvyklým přenosům souborů, může to být známka toho, že systém byl kompromitován.

Dobrým krokem je také nasazení pokročilé technologie pro detekci anomálií, která využívá umělou inteligenci k rozpoznání podezřelého chování v síti. Takové systémy dokážou včas upozornit bezpečnostní týmy, že se děje něco neobvyklého.

Závěr: V kybernetické bezpečnosti rozhoduje nejslabší článek

Zabezpečení firem už dávno není jen o vlastních ochranných opatřeních, ale o ochraně celého ekosystému, jehož jsou součástí. Supply Chain útoky ukázaly, že stačí jedno slabé místo v dodavatelském řetězci, aby hackeři získali přístup i do těch nejlépe chráněných systémů. A pokud se firmy nezačnou dívat za hranice svých vlastních sítí, budou se tyto útoky jen zhoršovat.