Securitatea cibernetică a furnizorilor și subcontractorilor, o cerință presantă pentru organizațiile românești
Creșterea constantă a numărului de atacuri asupra lanțurilor de aprovizionare (supply chain) face ca securitatea cibernetică a furnizorilor și subcontractorilor să devină o necesitate critică. Pentru organizațiile care nu dețin competențele interne necesare și care trebuie să stabilească un echilibru între riscuri și resursele disponibile, apelul la un furnizor specializat în externalizarea serviciilor de securitate este cea mai eficientă soluție.
În luna februarie, 26 de spitale românești au fost victimele unui atac ransomware care a dus la blocarea activității prin imposibilitatea efectuării de programări și emiterii de rețete. Mai mult, alte 79 de unități au fost deconectate preventiv, ceea ce a complicat și mai mult situația la nivel național.
Cauza? O vulnerabilitate în cadrul platformei de eHealth utilizată de toate aceste instituții medicale, care a fost exploatată cu succes de hackeri și a permis criptarea datelor de pe serverele de producție. Malware-ul utilizat în cadrul atacului a fost aplicația ransomware Backmydata care face parte din categoria Phobos, cunoscută pentru propagarea prin conexiuni de tip Remote Desktop Protocol (RDP). Atacul a fost confirmat atât de Directoratul Național de Securitate Cibernetică (DNSC), cât și de Ministerul Sănătății.
Potrivit datelor oficiale, platforma de eHealth atacată este utilizată de peste 100 de unități medicale din întreaga țară pentru gestionarea operațiunilor interne, dar și pentru introducerea serviciilor efectuate în sistemul de decontare al Caselor de Asigurări de Sănătate. Ulterior, DNSC a emis o serie de recomandări de securitate tuturor entităților din domeniul sănătății, indiferent dacă au fost sau nu afectate de atacul ransomware Backmydata, pentru scanarea infrastructurii IT&C și prevenirea amenințării ransomware Backmydata.
Incidentul de securitate informatică din luna februarie este un exemplu de atac asupra furnizorilor și subcontractorilor pentru operatorii de servicii esențiale. Cunoscut în limbajul de specialitate sub denumirea de „supply chain attack”, acesta exploatează vulnerabilitățile existente la nivelul unui furnizor terț, considerat de încredere, care livrează servicii sau aplicații software către mai mulți beneficiari.
Fenomenul este în creștere în ultimii ani. Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) consideră atacurile de acest tip drept unul dintre principalele riscuri emergente până în 2030. Acest fapt este confirmat și de statisticile la nivel global, care indică pentru 2023 o majorare cu 26% (față de anul anterior) a atacurilor asupra partenerilor și furnizorilor.
Creșterea frecvenței generează îngrijorare tot mai mare în rândul organizațiilor, mai ales în rândul celor cu lanțuri de parteneri extinse. Conform Gartner, anul trecut 60% dintre managerii executivi considerau că atacurile asupra furizorilor și subcontractorilor reprezentau cel mai probabil tip de amenințare cibernetică ce le-ar putea afecta activitatea.
O îngrijorare reală la nivelul UE
Potrivit studiului ENISA „Good practices for supply chain cybersecurity”, publicat în iunie 2023, până la 62% dintre organizații fuseseră deja afectate de un incident de securitate generat un furnizor/subcontractor.
Sunt evoluții confirmate în timp. De exemplu, analiza agenției UE din 2021 a arătat că, în 66% dintre atacurile analizate, partenerii nu știau sau nu erau transparenți în ceea ce privește modul în care au fost compromiși. Totodată, aproximativ 9% dintre organizațiile afectate de atacurile asupra lanțului de parteneri nu au știut cum s-au produs acestea.
Rezultatele evidențiază, pe de o parte, problemele existente în raportarea incidentelor de securitate cibernetică între furnizori/subcontractori și companiile care se adresează utilizatorilor finali. Pe de altă parte, subliniază incapacitatea organizațiilor de a gestiona riscurile de securitate la nivelul partenerilor. Conform sursei citate, aproape două treimi din atacuri (circa 62%) au profitat de încrederea organizațiilor în terți. (În 66% dintre incidentele analizate de ENISA, atacatorii s-au concentrat asupra codului sursă al aplicațiilor livrate de furnizori – model de acțiune similar celui semnalat de DNSC.)
Un an mai târziu, în 2022, conform agenției europene, 40% dintre responsabilii cu securitatea informatică din cadrul companiilor afirmau că au fost afectați de incidente generate de lanțul lor aprovizionare. Creșterea numărului de evenimente de acest tip reprezenta o sursă de îngrijorare pentru 58% dintre managerii executivi, care considerau că partenerii aveau un nivel de rezilență mai scăzut decât propria lor organizație.
Ce aduce nou NIS 2
Uniunea Europeană abordează proactiv aceste probleme prin intermediul directivelor NIS (Network and Information Systems). Există deja directiva NIS 1, transpusă în legislația națională prin Legea 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Actul normativ, care a intrat în vigoare în ianuarie 2019 în România, se adresează Operatorilor de Servicii Esențiale (OSE) din șapte sectoare de activitate economică și furnizorilor de servicii digitale ai acestora, inclusiv serviciile de sănătate.
De altfel, în cazul atacului din februarie, Directoratul Național de Securitate Cibernetică a mentionat repetitiv că, în conformitate cu Legea 362/2018, operatorii de servicii esențiale au obligația de a implementa măsuri adecvate pentru a preveni și minimiza impactul incidentelor care afectează securitatea rețelelor și a sistemelor informatice utilizate, precum și de a notifica de îndată DNSC, în calitate de CSIRT național, asupra incidentelor care au un impact semnificativ asupra continuității serviciilor esențiale. Acceași obligație de notificare se aplică și în cazul furnizorilor de servicii digitale, dacă evenimentul de securitate afectează activitatea unui operator de servicii esentiale.
NIS 2 extinde aria de acoperire a directivei prin includerea mai multor domenii de activitate. De asemenea, schimbă modul în care organizațiile abordează și gestionează securitatea la nivelul furnizorilor și subcontractorilor. Directiva UE promovează ideea securizării fiecărei componente a lanțului de parteneri, prin introducerea obligativității la nivelul organizațiilor în ceea ce privește:
– evaluarea riscurilor relevante la nivelul partenerilor terți,
– stabilirea de relații cu furnizorii/subcontractorii cu riscuri ridicate, pentru conștientizarea acestora și
– actualizarea permanentă a măsurilor de securitate.
Care este situația în prezent
Deși statisticile arată că organizațiile conștientizează riscurile de securitate ce pot apărea la nivelul lanțului de parteneri, iar noua directivă europeană are prevederi clare în acest sens, nu multe companii au și făcut pași concreți.
Astfel, conform studiului ENISA citat, la nivelul anului 2022 86% dintre companiile UE adoptaseră politici de securitate pentru furnizori și subcontractori. Dar, în pofida acestor măsuri, doar 47% dintre ele alocaseră și bugetele necesare respectării cerințelor de securitate cibernetică. Întârzierea se datorează, în principal, faptului că punerea în aplicare a practicilor și controalelor de securitate pentru companiile din lanțul de parteneri necesită resurse financiare și umane suplimentare. Este vorba de investiții în competențe, în soluții și în infrastructura informatică, atât din partea organizațiilor, cât și a furnizorilor/subcontractorilor acestora. Companiile non-IT dispun însă de resurse umane și financiare limitate. Ca atare, trebuie să analizeze cu atenție costurile, riscurile și beneficiile potențiale atunci când iau decizii privind angajarea resurselor pentru securitatea cibernetică a lanțului de parteneri.
Apelul la competențe este necesar
Studiul agenției UE a evidențiat faptul că mai puțin de un sfert (24%) din organizații au responsabili dedicați acestui domeniu. Totodată, cercetarea a mai arătat că, în ciuda existenței unor politici, operatorii sau furnizorii de servicii digitale nu dispun întotdeauna de structurile necesare pentru gestionarea riscurilor legate de securitatea cibernetică a lanțului.
Referitor la metodele de atenuare a riscurilor de securitate cibernetică ce pot apărea la nivelul furnizorilor/subcontractorilor, 61% dintre organizații optează pentru pentru certificări de securitate, urmate de tehnici de risc rating (43%) și apoi de evaluări/testări de securitate (37%). Cu toate acestea, certificările de securitate sunt adesea costisitoare, în special pentru furnizorii/subcontractorii mai mici, care nu sunt specializați în domeniul securității informatice. În plus, ENISA subliniază că prin certificarea partenerilor și/sau a produselor lor nu se poate înlocui evaluarea constantă a riscurilor ce pot apărea la nivelul lanțului de parteneri.
Toate acestea readuc în prim-plan nevoia de competențe specializate și menținerea unui echilibru corect între raționalizarea resurselor și abordarea proactivă a riscurilor. Din acest motiv, tot mai multe companii aleg să apeleze la furnizori de servicii externalizate de securitate, cu experiență, soluții și competențe validate prin certificări recunoscute internațional, cum este și Safetech Innovations.
Cum poate contribui Safetech
Specialiștii Safetech recomandă companiilor care doresc să îmbunătățească securizarea accesului furnizorilor și subcontractorilor cu care lucrează adoptarea unor măsuri proactive:
- Limitarea accesului direct al furnizorilor si subcontractorilor la infrastructura interna prin configurarea unor sisteme intermediare, de tip jump host,
- Instalarea si configurarea unor solutii de securitate solide la nivelul sistemelor de tip jump host care sa ofere posibilitatea unei identificari rapide a diverselor tipuri de malware si la izolarea respectivelor sisteme,
- Monitorizarea atenta a acestor sisteme de catre o echipa de specialisti in domeniul securitatii informatice pentru indentificarea rapida a diverselor probleme, care tin de securitatea informatica, avand ca posibila origine infrastructura colaboratorilor sau subcontractorilor,
- Realizarea unor activitati periodice de tip risk assessment care sa evidentieze posibilele probleme de securitate cauzate de interactiunea cu colaboratorii externi,
- Stabilirea unor politici de acces intre jump host si sistemele finale care sa corespunda principiului “Least Privileges”,
- Stabilirea unor proceduri de schimbare periodica a parolelor care tin de accesul colaboratorilor la nivelul infrastructurii interne.
Safetech oferă soluții eficiente organizațiilor care doresc să externalizeze aceste sarcini. Compania deține și operează una din primele structuri private de tip CERT (Computer Emergency Response Team) din România. Numit STI CERT, acesta este activ din 2015, este deservit de o echipă alcătuită din 25 de specialiști cu certificări multiple în domeniul securității cibernetice și deține acreditarea Trusted Introducer, acordată în UE organizațiilor care efectuează servicii de acest tip.
STI CERT oferă companiilor servicii extinse de detecție, răspuns și suport avansat necesare pentru asigurarea securității informatice, atât la nivelul organizațiilor, cât și a lanțului de furnizori și subcontractori. Complementar, Safetech oferă servicii cu caracter preventiv pe zona de consultantă pentru guvernanță, integrare de sisteme, teste de penetrare, management al vulnerabilităților și audit de securitate.
Safetech Innovations este una dintre cele mai experimentate companii de securitate cibernetică din România. Avem 12 ani de activitate și peste 600 de proiecte finalizate în acest domeniu pentru clienți din multiple sectoare economice.
În prezent, în Safetech Innovations lucrează peste 60 de angajați, dintre care 40 sunt membri ai echipei tehnice.
Pentru mai multe informații despre serviciile Safetech de externalizare pentru detecție şi răspuns la amenințări cibernetice, demonstrații practice și oferte comerciale, vă invităm să ne contactați prin email la sales @ safetech.ro sau prin telefon la +40 21 316 0565.