רמון הדר, יועץ אבטחת מידע
אין עוררין כי איום התקפת סייבר דרך שרשרת האספקה של ארגון, קיבל בשנה החולפת משנה תוקף (ופרסום). קבוצות התקיפה השונות, הבינו את הפוטנציאל הגלום בווקטור תקיפה זה: הקונספט של היעדר צורך בתקיפה ישירה של מנגנוני ההגנה של הארגונים, אלא עקיפתם באמצעות ניצול האמון שמעניקים לגופי שרשרת האספקה, קסם להאקרים ובכוונתם לנצל אותו עד תום.
ההתקפה המיוחסת לקבוצת תקיפה רוסית, שפורסמה בשלהי שנת 2020, על ארגונים ממשלתיים רבים בארה"ב, באמצעות הפצה של פוגען בתוכנת 'אוריון' של חברת 'Solar Winds' האירה בזרקור עז את הנושא החשוב, שנדחק הצידה שלא בצדק, של תקיפה דרך שרשרת אספקה. כמו כן, מתווה של תקיפת שרשרת האספקה מומש גם בהתקפת הכופר המשמעותית האחרונה (יולי 2021) של קבוצת התקיפה REvil על חברת Kaseya, במסגרתה התוקפים חדרו למאות מחשבים דרך תוכנה של חברה זו, שמשמשת לניהול מחשבי לקוחות מרחוק, גם כן באמצעות עדכון תוכנה זדוני, גרמו להשבתת מערכות וחנויות מכר, ודרשו סכום כופר דמיוני של 70 מיליון דולר. קבוצת התקיפה המוכרת והנפוצה המדוברת נעלמה אחרי תקיפה זו באופן מסתורי מהרשת וחברת Kaseya הספיקה מאז לטעון שהשיגה את מפתחות ההצפנה, אולם לא ברור באם שילמה את הכופר.
יוזכר, כי במקביל, גם בישראל, בדצמבר 2020, אירעה פריצה למחשבי חברת התוכנה 'עמיטל', אשר הובילה לפריצה לכ־40 חברות ישראליות בתחומי הלוגיסטיקה והיבוא, בעקבות גניבה של פרטי ההתחברות ללקוחות.
ארגון ENISA (הארגון אירופי לשיפור תחום ההגנה בסייבר) פרסם (29 ביולי 2021) דו"ח מקיף שכולל ניתוח של 24 מקרי תקיפת שרשרת אספקה, מינואר 2020 ועד תחילת חודש יולי 2021. לפי דו"ח זה[1], בהתבסס על המגמות, הנתונים והדפוסים שנותחו, הארגון טוען שהתקפות שרשרת אספקה גדלו, הן במספרים והן בתחכום, וההערכה היא שמספר ההתקפות מסוג זה יגיעו לפי 4 בשנת 2021 מאשר בשנה הקודמת. בנוסף, לפי הארגון, מחצית מהתקיפות מסוג זה יוחסו לקבוצות תקיפה מתקדמות (APT-Advanced Persistent Threat Actors), ולכן המורכבות והמשאבים שהוקצו להן הן הרבה מעבר לתקיפה רגילה ולא ממוקדת, וכתוצאה מכך קיים צורך גובר בנקיטת דרכי התגוננות חדשים בקרב הספקים השונים על מנת להבטיח שהארגונים יוותרו מוגנים.
הנתונים של הארגון מראים שבכ-65 אחוז מהמקרים, כשבוחנים את הנכסים שנתקפו, התוקפים התמקדו בהשגת גישה לקוד מסוים של הספק, או תוכנה הקיימת אצל הספק, במטרה לחדור למערכות המחשב של הלקוחות. כמו כן, בכ-60 אחוז מהמקרים של התקפה על לקוחות, ההתקפות ניצלו את האמון בין מערכות הספק והלקוחות, ובהיקף דומה של אחוזים, מטרת התקיפה הייתה מידע שמצוי בידי הלקוח (כולל מידע אישי ומידע הכולל נכס קנייני). לבסוף צוין, כי טכניקת התקיפה שננקטה במרבית המקרים (כ-60 אחוז) הייתה שימוש בנוזקות (למשל תוכנת ריגול שמטרתה גניבת נתוני גישה והזדהות של העובדים), לצד שימוש בשיטות תקיפה אחרות, כגון טכניקות הנדסה חברתית שונות (פישינג, אפליקציות מזויפות), התקפה שכוללת ניחוש סיסמאות או השגתם ממידע גלוי ברשת, ניצול חולשות בתוכנות שבשימוש הספקים וניצול שגיאות תצורה ואבטחה ברשתות הספק.
סיכום: לטענתי, העלייה הדרמטית בהתקפות על שרשרת האספקה מהוות נדבך נוסף בהשתכללות של קבוצות התקיפה בשנה וחצי האחרונות, מאז פרוץ מגפת הקורונה, תוך ניצול תלות הארגונים בקבלני וספקי משנה. מעבר לכך ניכר, כי איום זה כאן כדי להישאר איתנו בטווח הנראה לעין, בתחומי הסייבר ההתקפי השונים. בד בבד התברר, כי ככל שהארגונים משפרים את ההגנה בסייבר שלהן, האיזון ייטה לכיוון היות הספקים יעד מועדף לתקיפה ("אפקט הבלון"). מעבר לכך, כפי שהוכח בתקיפות סייבר בישראל בעבר הקרוב, הסקטורים השונים במדינה, בדגש על אלו התלויים בספקים וקבלני משנה, לא בהכרח מוכנים לתקיפות רחבות היקף על שרשרת האספקה.
על מנת לצמצם את סיכוני אבטחת המידע בשרשרת האספקה בישראל, הספקים נדרשים, ראשית כל, להבין את האיום המשמעותי המדובר ולהטמיעו בקרב עובדיהם. בנוסף, הספקים והלקוחות נדרשים לוודא שהספקים עומדים בנהלים שפורסמו עבורם ע"י מערך הסייבר הלאומי במאי ובאוגוסט 2020, ולוודא מימוש תהליך פיתוח מאובטח של מוצרים ושירותים שמסופקים ללקוחות, לפי נהלי האבטחה המקובלים, דוגמת ISO-27001 אוSP-800-161 NIST.
[1] https://www.enisa.europa.eu/news/enisa-news/understanding-the-increase-in-supply-chain-security-attacks
פורסם לראשונה באנשים ומחשבים: