Polovina roku 2024 je už za námi a již došlo k tisícům úniků dat, z nichž několik mělo extrémní rozsah.
V únoru byla společnost Change Healthcare, poskytovatel správy výnosů a platebních cyklů, který propojuje plátce, poskytovatele a pacienty v USA, napadena ransomwarem. Útok na několik týdnů narušil zdravotnické služby po celé zemi a umožnil podvodníkům získat záznamy „podstatné části lidí v Americe“. Mateřská společnost UnitedHealth uvedla, že celkové náklady na tento incident pravděpodobně překročí 1 miliardu dolarů.
Přibližně ve stejnou dobu byly narušeny účty více než sta zákazníků platformy Snowflake, platformy pro ukládání, zpracování a analýzu dat, když neumožnili dvoufaktorovou autentizaci. Ticketmaster je pravděpodobně největší firmou z těch několika mála, které o úniku dat informovaly veřejnost. Šlo o více než 560 miliony záznamů o zákaznících, včetně osobních údajů a dílčích platebních údajů.
A pokud jste někdy pracovali s portály jako je Fiverr nebo Uber, byli jste ověřeni na TikToku nebo používali PayPal, LinkedIn a Coinbase, existuje šance, že vaše identifikační dokumenty poskytnuté během procesu KYC (know your customer) byly pravděpodobně ukradeny od poskytovatele autentizace AU10TIX. Bylo tomu ovšem možné předejít. Stačilo změnit heslo k účtu, o kterém se déle než rok vědělo, že byl kompromitovaný.
Není to nejlepší začátek roku a navíc je to jen hrstka veřejně známých případů. Může jich být ještě mnohem víc a ještě mnohem horších – jen o nich nevíme. Ale co mají všechny tyto případy společného? Všechno jsou to klasické útoky na dodavatelské řetězce. Žádný z postihnutých prodejců nepatří mezi společnosti, se kterými by běžní lidé spolupracovali – často o nich ani neslyšeli. Co však mají společného, je množství uložených osobních informací, což je pro hackery nesmírně cenná kořist.
Ještě znepokojivější není to, že některé společnosti mají na zádech obrovský terč. Mnohem víc jde o skutečnost, že zločinci jsou stále sofistikovanější. Útoky na dodavatelské řetězce byly neustálým problémem už roky (pamatujete na spor o „špionský čip“ kompromitující Amazon, Apple a další?).
USA i mnoho evropských a asijských zemí přijalo legislativu omezující instalaci telekomunikačních zařízení navržených nebo vyrobených v Číně. Také uzákonily zákaz používání sledovacích zařízení, serverů a dronů čínské výroby. Ale sledujete trend? Všechny tyto opatření jsou zaměřeny na velké cíle. Začíná být patrné, že kromě toho existuje celá řada tajných operací.
Koncem března tohoto roku osamělý vývojář zcela sám zabránil backdooringu tisíců, ne-li více, serverů Debian a Red Hat. Téměř všudypřítomný nástroj v distribucích Linuxu, xz Utils, poskytoval důležité funkce pro kompresi a dekompresi dat. Pachatelé (považovaní za státní činitele) strávili roky získáváním důvěry správce a uživatelů tohoto nástroje a nakonec přebírali více a více odpovědnosti. Po téměř dvou letech do něj vkradli chytře zamlžený kód. Ten jim měl umožnit zablokovat jakýkoli server, na kterém byl tento software spuštěn, vložením vlastního kódu do relací SSH.
To, co se stalo, bylo téměř jako špionážní román. Odborníci to dokonce popsali jako jeden z „nejlépe provedených útoků na dodavatelský řetězec“, který málem uspěl.
I když jsou tyto typy útoků vzácnější, je také těžší je odhalit a při správném provedení jsou následky katastrofální. K dosažení stejného výsledku však často stačí jenom obyčejná nekompetentnost či nedbalost.
Zamyslete se chvilku nad počítačovým zařízením, prohlížečem a síťovým připojením, které používáte pro čtení tohoto článku – kdo je vyvinul a kdo je udržuje? Vezměme to o krok dále. Co operační systém, EDR, VPN nebo další software a služby, které nejspíš používáte pro každodenní komunikaci a práci?
Pokud používáte iPhone nebo Mac, možná si myslíte, že to máte vyřešené. Však je to Apple, ne? Technicky vzato máte pravdu, ale situace je mnohem složitější i u něčeho tak úzce integrovaného, jako jsou produkty Apple. Podobně jako linuxová distribuce může obsahovat stovky, ne-li tisíce nástrojů a projektů, stejně tak server, PC nebo jakékoli „chytré“ zařízení je obrovská integrace hardwaru, firmwaru, softwaru a dokonce i externích vzdálených služeb.
Takže zpět k naší Hanlonově břitvě: co se stalo? Již více než pět let byly některé servery od společností Lenovo, Intel a Supermicro dodávány se známými bezpečnostními slabinami v jejich BMC, společném subsystému používaném pro vzdálenou správu a diagnostiku. Proč? Protože dodavatelé navrhující software BMC zapomněli aktualizovat open-source komponentu nazvanou lighttpd, která měla v roce 2018 vydanou opravu opravující závažnou zranitelnost.
Pomalý tlak na zlepšení zabezpečení
V reakci na tyto alarmující incidenty tlačí nedávná unijní legislativa celoevropský trh k přijetí lepších bezpečnostních pozic a provádění důkladného hodnocení a řízení rizik, zejména důraz na posílení bezpečnosti dodavatelského řetězce. To se týká především směrnice o bezpečnosti sítí a informací (NIS2), která má vstoupit v platnost koncem tohoto roku.
Ve Spojených státech se výkonné nařízení z roku 2021 (14028—Improving the Nation’s Cybersecurity) zaměřilo na stanovení kritérií pro identifikaci rizik v bezpečnostních postupech vývojářů a dodavatelů finálního softwarového produktu. Spolu se stávajícími právními předpisy, jako je zákon o povolení k národní obraně (NDAA), zákon o obchodních dohodách (TAA) a několik směrnic Ministerstva pro vnitřní bezpečnost (DHS) a Národního institutu pro standardy a technologie (NIST), to přináší větší povědomí a kontrolu bezpečnosti. Byť relativně pomalým tempem.
Jak dohnat (a předběhnout dobu)
Podnikům a organizacím pomůže připravit se na nejhorší, pokud si budou těchto problémů vědomi a implementují několik zásadních věcí do procesů nákupu a správy IT. Jedním z účinných nástrojů je Software Bill of Materials (SBOM), který poskytuje komplexní seznam všech softwarových komponent používaných v konkrétním systému, službě nebo větším kusu softwaru. SBOM umožňují organizacím získat přehled o tom, jak přesně jejich IT infrastruktura běží, které komponenty jsou aktivně využívány a co je nejdůležitější – zda mají nějaké známé zranitelnosti.
Podobně jako seznam složení na obalech, SBOM poskytují transparentnost do toho, co bývá jinak příslovečným “black boxem”. Prováděním častých bezpečnostních auditů mohou společnosti proaktivně identifikovat a řešit zranitelná místa.
Dostupnost SBOM a záznamy o bezpečnostních reakcích dodavatele se budou v blízké budoucnosti stále více stávat klíčovými rozhodujícími faktory. Synology například generuje SBOM ve formátech CycloneDX a SPDX pro své podnikové zákazníky. V kombinaci s rychlou reakcí na řešení jakékoli nulové nebo kritické zranitelnosti Synology nastavuje vysoký standard pro řešení správy a ochrany dat.
Pro IT profesionály a osoby s rozhodovací pravomocí je nezbytné upřednostňovat zabezpečení na straně nabídky ve všech systémech. Zajistěte, aby vaši dodavatelé byli transparentní ohledně softwaru a služeb, které používají, a zavázali se k pravidelným bezpečnostním auditům. Vzhledem k tomu, že se situace na scéně kybernetické bezpečnosti stále více vyostřuje, je lepší panikařit brzy a připravit se hned.