Od czasu podpaleń zamaskowanych jako paczki, które latem zeszłego roku spowodowały szkody w kilku obiektach DHL, stało się oczywiste, że logistyka w państwach wspierających Ukrainę jest również celem kampanii hybrydowych zagrożeń, wspierających rosyjskie wysiłki wojenne. W wspólnym oświadczeniu międzynarodowych agencji bezpieczeństwa Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) i Federalny Urząd Ochrony Konstytucji (BfV) ostrzegają szczególnie branżę logistyczną przed cyberatakami. Celem ataków jest zakłócenie lub nawet uniemożliwienie dostaw na teren działań wojennych. Używane środki nie są ograniczone tylko do zaangażowanych firm, ale również wpływają na infrastrukturę. Dotyczy to między innymi szpiegowania węzłów logistycznych, np. poprzez nieautoryzowany dostęp do kamer monitorujących z połączeniem sieciowym. Agencje wymieniają jako sprawców tych ataków wyraźnie rosyjskie służby wywiadowcze. Dla cyberataków oznacza to inną jakość niż szeroko znane z mediów tematy takie jak np. ransomware (oprogramowanie wymuszające okupy).
Szczególna jakość ataków
Państwowi cyberaktory, tacy jak służby wywiadowcze i siły zbrojne, zazwyczaj nie działają pod presją czasu i mają dostęp do niemal nieograniczonych środków. Ich podejście cechuje to, że starają się jak najdłużej pozostać niezauważeni w systemie, gdzie zwykle kradną dane w celach szpiegowskich. Aktualne ostrzeżenie wskazuje jednak, że w konkretnym przypadku na pierwszy plan wysuwa się raczej sabotaż. Zwłaszcza w logistyce awaria pojedynczego przedsiębiorstwa dla napastników jest tylko częściowym sukcesem. Można to skompensować poprzez tymczasowe korzystanie z innych logistyków.
Dlatego można spodziewać się innego podejścia: jak najdłużej pozostać niezauważonym w systemie i poprzez manipulacyjne interwencje tworzyć chaos. Myśląc o w pełni zautomatyzowanym magazynowaniu czy transporcie wrażliwych towarów, czynniki takie jak temperatura, przechowywanie i czas odgrywają ważną rolę. Również tworzenie dokumentów przewozowych bywa daleko zautomatyzowane, co sprawia, że drobne błędy w datach czy adresach nie są zauważalne lub przypisywane są ludzkim błędom. Towar (np. żywność lub leki) dociera wtedy z opóźnieniem lub nawet zepsuty.
Ale także wzorce ataków znane już z przestępczości mogą być interesujące dla państwowych aktorów: Jeśli poprzez
dostęp do systemów można śledzić lokalizację interesującego ładunku w czasie rzeczywistym, łatwo jest go przechwycić. Znane są również przypadki, w których poprzez manipulację systemów IT tuszowano pochodzenie i rodzaj towarów, a całe transporty z przemycanym towarem „znikały”. Takie działanie jest również możliwe dla służb wywiadowczych. Celem bezpieczeństwa IT jest zatem, poprzez środki takie jak wykrywanie anomalii, jak najszybciej uzyskać wiedzę o nietypowej aktywności w systemie. Przyjrzyjmy się zatem, jak działają napastnicy:
Wejście: Napastnik już jest wewnątrz
Większość cyberataków zaczyna się od e-maila zawierającego złośliwy link lub załącznik. Środki obronne obejmują zatem regularne szkolenie pracowników, aby zmniejszyć prawdopodobieństwo, że padną ofiarą takiego ataku. Ale jest w tym haczyk: im bardziej skomplikowany atak, tym trudniej jest pracownikom. Kluczowym słowem jest „zaufanie”: Złośliwe maile nie pojawiają się nagle, lecz pochodzą od zaufanego kontaktu. Klient lub partner biznesowy, w niektórych sytuacjach nawet prywatne konta bliskich członków rodziny, które zostały wcześniej przejęte przez napastników. W samym e-mailu nawiązuje się do wcześniejszej komunikacji lub bezpośrednio do niej nawiązuje.
Ataki często dążą do kradzieży danych logowania, takich jak nazwy użytkowników i hasła, dzięki którym napastnicy uzyskują dostęp do systemów. Aby zmniejszyć ryzyko, na pewno warto wdrożyć uwierzytelnianie wieloskładnikowe dla wszystkich kont użytkowników. Niemniej jednak trzeba liczyć się z tym, że państwowi napastnicy znajdą sposoby, aby to obejść. Dlatego też bezpieczeństwo IT powinno koncentrować się na wykrywaniu nietypowego zachowania w sieci i odpowiedniej reakcji (Detection & Response).
Cyfrowy łańcuch dostaw
Kolejnym punktem wejścia są cyfrowe interface'y: Współczesna rejestracja zleceń może być w pełni zautomatyzowana. Klient, często nawet jego zautomatyzowana fabryka, składają zamówienia na towary lub dostawy, które bezpośrednio trafiają do logistyka. To oprogramowanie stanowi potencjalne źródło zagrożeń dla obu przedsiębiorstw. Wprowadzenie złośliwego oprogramowania jest tutaj wyzwaniem, ale o wiele trudniejsze staje się, gdy oprogramowanie w wyniku manipulacji zewnętrznych dostarcza błędne wyniki. Czy istnieją również możliwości dostępu do systemów drugiej firmy,
zależy od wykorzystywanego oprogramowania. Jednak doświadczenie pokazuje, że lepiej jest założyć obecność luk w zabezpieczeniach i podjąć odpowiednie środki ostrożności, np. segmentację sieci.
Zagrożenia ze strony dostawców i pracowników
Nawet bezpośrednie połączenia stanowią potencjalne zagrożenie: Zewnętrzny personel sprzątający często przebywa w pomieszczeniach poza godzinami pracy, serwisanci pracują często bez nadzoru przy maszynach i urządzeniach. Szybko więc można podłączyć nowe urządzenie, np. pamięć USB z złośliwymi treściami. Ale również pracownicy często przynoszą własne urządzenia, takie jak punkty dostępowe i routery, do sieci, co zwykle nie ma na celu działania z premedytacją, lecz ułatwienie sobie pracy. Mimo to stanowią one potencjalne punkty wejścia, z których można infiltrować system. Większość rozwiązań bezpieczeństwa oferuje możliwości zablokowania tego lub umożliwienia używania tylko certyfikowanych nośników danych. Firmy powinny z nich korzystać.
Administratorzy i uprawnienia dostępu
Administratorzy IT mają wyzwanie, by na bieżąco aktualizować swoją wiedzę zgodnie z dynamicznymi zmianami w IT, a równocześnie realizować wszystkie bieżące zadania w firmie. Robi się to coraz bardziej skomplikowane, im więcej IT się używa. W ten sposób szybko osiąga się granice ludzkiej wydajności. Próbuje się wtedy ułatwiać sobie życie, np. przez łatwe do zapamiętania hasła lub szybkie możliwości dostępu, mimo że wiadomo, że są to potencjalnie ryzykowne działania.
Napastnicy celowo szukają tych „obejść”. Jeśli one istnieją, są używane do uzyskania dostępu do uprawnień administratorów. Mogą potem tworzyć własne konta z tymi samymi uprawnieniami lub po prostu przejmować istniejące. Dlatego ważne jest, aby segmentować obszary sieciowe i ograniczać uprawnienia poszczególnych pracowników oraz administratorów. Ale także otwarte i szczere rozmowy o granicach własnych możliwości są ważne. Przepracowani pracownicy w IT i bezpieczeństwie IT to jedno z najczęstszych wyzwań w walce z cyberatakami!
Logistyka i infrastruktura krytyczna
Ze względu na ich rzeczywiste znaczenie dla funkcjonowania gospodarki i społeczeństwa, może się wydawać zaskakujące, że w dziedzinie transportu i komunikacji głównie operatorzy węzłów i infrastruktury podlegają nowej
dyrektywie NIS2 UE, podczas gdy wiele firm logistycznych nie. Dyrektywa ta określa środki bezpieczeństwa IT, które są obowiązkowe dla firm z niektórych branż zatrudniających co najmniej 50 pracowników (i 10 mln euro rocznego obrotu).
Ponadto, firmy te są zobowiązane wziąć całą swoją łańcuch dostaw pod uwagę w kontekście środków bezpieczeństwa IT. W tym momencie nowa dyrektywa dotyczy jednak szczególnie branży logistycznej, której awaria ma konsekwencje praktycznie dla każdej innej branży. Mimo że krajowa implementacja NIS2 w Niemczech opóźnia się ze względu na zmianę rządu, przedsiębiorstwa już teraz zaczynają dyskutować kwestię cyberbezpieczeństwa ze swoimi logistykami. Gdzie firmy są zależne od Just in Time/Just in Sequence lub działają w obszarze materiałów niebezpiecznych, to powinno już być standardem.
Wnioski
Bycie w kręgu zainteresowań państwowych aktorów może na pierwszy rzut oka wydawać się groźne i rzeczywiście nie można tego lekceważyć. Jednakże przy dobrze zaplanowanej i prowadzonej strategii cyberbezpieczeństwa, istnieją dobre szanse na wykrycie i odparcie takich cyberataków. Ważne jest zrozumienie, że pierwszy punkt wejścia do sieci zostanie potraktowany przez napastników z ogromnym zaangażowaniem. Przy państwowych aktorach można założyć, że ostatecznie uda im się ominąć najlepsze narzędzia obronne.
Logistycy służą cybernapastnikom nie tylko jako cel sabotażu, ograniczając ich możliwości transportu, ale także ze względu na swoją pozycję zaufania i cyfrowe interfejsy jako punkt wejścia do ich klientów. Własna strategia cyberbezpieczeństwa koncentrująca się na wykrywaniu i zwalczaniu ataków („Detection & Response”) oraz aktywna współpraca z klientami w zakresie bezpieczeństwa cybernetycznego poprawiają nie tylko własny poziom ochrony, ale również budują zaufanie. Przynajmniej powinny istnieć strategie, aby wzajemnie informować się o udanych cyberatakach i radzić sobie z nimi.
Autor
Jako doradca ds. bezpieczeństwa Richard Werner przybliża odpowiedzialnym za bezpieczeństwo IT większych klientów strategiczne podejście Trend Micro, zwłaszcza w kontekście aktualnych zagrożeń cybernetycznych. Przed pracą w Trend Micro Richard Werner zdobywał doświadczenie zawodowe w branży spożywczej oraz logistycznej i jest wykształconym
