Η ανάγκη για την Ασφάλεια της Εφοδιαστικής Αλυσίδας είναι σήμερα πιο σημαντική από ποτέ

Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert

 

 

 

 

Τον τελευταίο καιρό, γινόμαστε όλο και συχνότερα μάρτυρες κυβερνοεπιθέσεων που είτε επικεντρώνονται, είτε έχουν σαν όχημα και μέθοδο επίθεσης την εκμετάλλευση αδυναμιών της Εφοδιαστικής Αλυσίδας των οργανισμών.

Οι κυβερνοεπιθέεσεις αυτές, αφορούν το σύνολο των οργανισμών όσο μεγάλοι ή μικροί είναι αυτοί, αφού ανεξαρτήτως του μεγέθους τους, αναπόφευκτα βασίζονται σε μια σειρά από τρίτους οργανισμούς προκειμένου να παραδώσουν τα αγαθά ή τις υπηρεσίες τους στους πελάτες. Οι τρίτοι αυτοί οργανισμοί αποτελούν την Εφοδιαστική Αλυσίδα, στην οποία βασίζεται ο οργανισμός μας για να λειτουργεί ομαλά και αποτελεσματικά, χωρίς διακοπές, χαμένες παραδόσεις ή χαμένες παραγγελίες.

Ο ορισμός της Εφοδιαστικής Αλυσίδας περιλαμβάνει επίσης οποιοδήποτε λογισμικό τρίτων που συμπεριλαμβάνεται στο λογισμικό του οργανισμού. Εάν ένα βοηθητικό πρόγραμμα έχει μια ευπάθεια, τότε το σύστημά σας θα κληρονομήσει αυτήν την ευπάθεια/

Αυτό που παλιά ήταν μια απλή γραμμική αλυσίδα μπορεί, σήμερα, να είναι εξαιρετικά περίπλοκο. Καθώς στρεφόμαστε στρατηγικά όλο και περισσότερο στην εξωτερική ανάθεση (outsoursing) ως αποτελεσματική επιχειρηματική λύση, είναι ολοένα και πιο σημαντικό οι εξωτερικοί συνεργάτες / μέλη της Εφοδιαστικής μας Αλυσίδας να είναι έμπιστοι και αξιόπιστοι να χειριστούν τα δεδομένα και τις διαδικασίες του οργανισμού με ασφάλεια ώστε να είμαστε σε θέση να διασφαλίσουμε την συνολική ασφάλεια και προστασία της Εφοδιαστικής Αλυσίδας.

Όπως κατέδειξε και η πανδημία, η αβεβαιότητα και η σύγχυση που μπορεί να προκαλέσει μια διαταραγμένη Εφοδιαστική Αλυσίδα στους οργανισμούς και την κοινωνία, μπορεί να έχει σημαντική επίπτωση στην ζωή μας. Επομένως, πρέπει να κάνουμε ό,τι μπορούμε για να τους προστατεύσουμε από την ευπάθεια.

Σύγχρονα συμβάντα και ανησυχίες των Υπεύθυνων Ασφάλειας των Οργανισμών

Οι επιθέσεις Εφοδιαστικής Αλυσίδας δεν είναι καινοφανείς. Η εμβληματική παραβίαση του επιχείρησης Target[1] στα τέλη του 2013 ήταν μια παραβίαση της Εφοδιαστικής Αλυσίδας. Οι εισβολείς μπήκαν στο υπολογιστικό περιβάλλον του οργανισμού χρησιμοποιώντας διαπιστευτήρια που είχαν κλαπεί από έναν τρίτο πάροχο υπηρεσιών και συστημάτων HVAC – την εταιρία Fazio Mechanical Services – δηλαδή μέσω της Εφοδιαστικής Αλυσίδας της Target.

Η παραβίαση της Ticketmaster[2] το 2018 ήταν μια άλλη παραβίαση της Εφοδιαστικής Αλυσίδας Ένας προμηθευτής λογισμικού Ticketmaster, – η εταιρία Inbenta – παραβιάστηκε και το λογισμικό που η εταιρία προμήθευε στην Ticketmaster, μεταξύ άλλων πελατών, τροποποιήθηκε ώστε να αποτελέσει το όχημα της επίθεσης, μέσω της αυτόματης λήψης του λογισμικού ως νέα έκδοση.

Το Island Hopping είναι μια άλλη μορφή επίθεσης στην Εφοδιαστική Αλυσίδα. Το 2017, αποκαλύφθηκε το Operation Cloud Hopper[3]. Αυτό αποκάλυψε ότι μια προηγμένη ομάδα κυβερνοεγκληματιών, πιθανώς η APT10, έθετε σε κίνδυνο τους διαχειριζόμενους πόρους και υπηρεσίες για να αποκτήσει πρόσβαση στους πελάτες του πάροχου.

Παρά την δημοσιότητα που λαμβάνουν τα περιστατικά Ασφάλειας Εφοδιαστικής Αλυσίδας, φαίνεται ότι τα τελευταία δύο χρόνια, η δημοσιοποίηση πιο εκτεταμένων περιστατικών όπως η SolarWinds[4], αλλά και το περιστατικό NotPetya[5] του 2017 που ξεκίνησε επίσης ως επίθεση στην Εφοδιαστική Αλυσίδα, έχει οδηγήσει τους οργανισμούς να συνειδητοποιήσουν την πλήρη απειλή από ολοένα και πιο εξελιγμένες και ευρείας κλίμακας επιθέσεις στην Εφοδιαστική Αλυσίδα.

Σε αυτό το πλαίσιο, οι Υπεύθυνοι Ασφάλειας των Οργανισμών παγκοσμίως, αλλά και σε όλους τους επιχειρηματικούς τομείς και κλάδους, έχουν εκφράσεις πέντε κύριες ανησυχίες για την ασφάλεια της Εφοδιαστικής Αλυσίδας, που «τους κρατούν ξύπνιους τα βράδια»

  1. Προστασία δεδομένων. Τα δεδομένα βρίσκονται στο επίκεντρο των επιχειρησιακών συναλλαγών και πρέπει να ασφαλίζονται και να ελέγχονται τόσο όταν αποθηκεύονται, όσο και όταν μεταδίδονται μέσω δικτύων επικοινωνίας, για την αποφυγή παραβίασης και απώλεια δεδομένων. Η ασφαλής ανταλλαγή δεδομένων περιλαμβάνει επίσης την εμπιστοσύνη της ταυτότητας του ετέρου μέρους της επικοινωνίας.
  2. Τοπικότητα δεδομένων. Τα κρίσιμα δεδομένα του οργανισμού δυνητικά υπάρχουν σε όλα τα επίπεδα της Εφοδιαστικής Αλυσίδας και πρέπει να εντοπίζονται, να ταξινομούνται και να προστατεύονται ανεξάρτητα από το πού βρίσκονται. Σε κλάδους με αυξημένες κανονιστικές απαιτήσεις , όπως οι χρηματοοικονομικές υπηρεσίες και η υγειονομική περίθαλψη, τα δεδομένα πρέπει να συλλέγονται, να αποθηκεύονται, να διαχειρίζονται, να χρησιμοποιούνται και να ανταλλάσσονται σύμφωνα με τα πρότυπα του κλάδου και τις κυβερνητικές εντολές που ποικίλλουν ανάλογα με τις περιοχές στις οποίες ο οργανισμός δραστηριοποιείται.
  3. Ορατότητα και διακυβέρνηση δεδομένων. Στο σύγχρονο επιχειρησιακό περιβάλλον, όπου τα δίκτυα μεταξύ πολλαπλών οργανισμών όχι μόνο διευκολύνουν την ανταλλαγή δεδομένων, αλλά επιτρέπουν επίσης πρόσβαση σε δεδομένα, ώστε να μπορούν να προβάλλουν, να μοιράζονται και να συνεργάζονται. Οι συμμετέχουσες επιχειρήσεις απαιτούν έλεγχο των δεδομένων και τη δυνατότητα να αποφασίζουν με ποιον θα τα μοιραστούν και τι μπορεί να δει κάθε εξουσιοδοτημένο μέρος.
  4. Πρόληψη απάτης. Σε έναν κύκλο ενχρήματης συναλλαγής, τα δεδομένα αλλάζουν χέρια πολλές φορές, άλλοτε σε έντυπη μορφή και άλλοτε ηλεκτρονικά. Κάθε σημείο στο οποίο ανταλλάσσονται δεδομένα μεταξύ των μερών ή μεταφέρονται εντός συστημάτων παρουσιάζει μια ευκαιρία για παραποίηση – κακόβουλα ή ακούσια.
  5. Κίνδυνος τρίτων. Καθημερινά προϊόντα και υπηρεσίες – από κινητά τηλέφωνα μέχρι αυτοκίνητα – αυξάνονται σε πολυπλοκότητα. Ως αποτέλεσμα, οι Αλυσίδες Εφοδιασμού συχνά βασίζονται σε τέσσερα ή περισσότερα επίπεδα προμηθευτών για την παράδοση των τελικών προϊόντων. Καθένα από αυτά τα εξωτερικά μέρη μπορεί να εκθέσει τους οργανισμούς σε νέους κινδύνους με βάση την ικανότητά τους να διαχειρίζονται σωστά τις δικές τους ευπάθειες.

Αυξημένη επικινδυνότητα, περισσότερο επιτηδευμένες επιθέσεις

Για να αναπτυχθεί ένα αποτελεσματικό πρόγραμμα προστασίας της Εφοδιαστικής Αλυσίδας ενός οργανισμού, είναι σημαντικό να κατανοήσουμε γιατί οι επιθέσεις στον κυβερνοχώρο όχι μόνο αυξάνονται αλλά και ολοένα και πιο επιτυχημένες.

Ο κύριος λόγος έγκειται στην πολυπλοκότητα των Αλυσίδων Εφοδιασμού και των ψηφιακών δικτύων των οργανισμών, τα οποία συχνά είναι πολυεπίπεδα. Για παράδειγμα, η Εφοδιαστική Αλυσίδα ενός κατασκευαστή αυτοκινήτων περιλαμβάνει πολυάριθμους πωλητές, κατασκευαστές, παρόχους υπηρεσιών και πελάτες που βασίζονται σε άλλους προμηθευτές, οι οποίοι, με τη σειρά τους, εξαρτώνται ακόμη από άλλους προμηθευτές. Όλοι αυτοί οι προμηθευτές συνδέονται στο ψηφιακό δίκτυο του οργανισμού και είναι επίσης συνδεδεμένοι με τα ψηφιακά δίκτυα των πωλητών και των πελατών τους, μέσω εξοπλισμού και λογισμικού, άλλων προμηθευτών. Σε ένα τέτοιο περιβάλλον, οι κίνδυνοι για την ασφάλεια στον κυβερνοχώρο των τρίτων μερών, καθίστανται επίσης κίνδυνοι του ίδιου του οργανισμού.

Ένας άλλος παράγοντας είναι η χρήση υποδομών cloud. Καθώς οι Εφοδιαστικές Αλυσίδες μεγαλώνουν, οι οργανισμοί επενδύουν σε μεγαλύτερα και πιο σύνθετα δίκτυα προμηθειών, μετατοπίζοντας τον φόρτο εργασίας σε δημόσια ή ιδιωτικά δίκτυα cloud. Η αλλαγή αυξάνει την εξάρτηση των εταιρειών στους μηχανισμούς ασφαλείας των παρόχων cloud και μειώνει την ορατότητα σε πιθανούς κινδύνους.

Ο ταχέως αυξανόμενος αριθμός συσκευών Ιnternet-of-Τhings που είναι συνδεδεμένες σε δίκτυα είναι επίσης ένας λόγος. Η τάση αυτή δημιουργεί πολλά ψηφιακά τελικά σημεία που μπορούν να είναι είσοδοι σε ένα δίκτυο.

Τέλος, οι κυβερνοεγκληματίες χρησιμοποιούν διαρκώς πιο εξελιγμένα εργαλεία και τεχνικές για να εκμεταλλευτούν τα τρωτά σημεία στα ψηφιακά δίκτυα και τα πιθανά αδύναμα σημεία μπορεί να είναι δύσκολο να εντοπιστούν. Αποτέλεσμα αυτού, οργανισμοί με καθιερωμένες και αυξημένες δυνατότητες κυβερνοασφάλειας τίθενται σε κίνδυνο μέσω λιγότερο εξελιγμένων τρίτων μερών που είναι συνδεδεμένα στο δίκτυό τους

Υπάρχουν πολλές μορφές επιθέσεων στην Εφοδιαστική Αλυσίδα, αλλά τρεις είναι οι κύριες και πιο συχνές από αυτές:

  1. Επιθέσεις λογισμικού: Αυτές οι επιθέσεις επικεντρώνονται στον πηγαίο κώδικα του λογισμικού ενός προμηθευτή, όπου ο εισβολέας εισάγει τον κακόβουλο κώδικά του σε μια αξιόπιστη εφαρμογή. Υπάρχουν επίσης περιπτώσεις όπου ένας διακομιστής ενημέρωσης έχει παραβιαστεί, επιτρέποντας στον εισβολέα να αντικαταστήσει μια νόμιμη βιβλιοθήκη με τη δική του.
  2. Επιθέσεις υλικού: Αυτές οι επιθέσεις στοχεύουν φυσικές συσκευές όπως κάμερες web, δρομολογητές και πληκτρολόγια. Η πιο διαδεδομένη μορφή περιλαμβάνει την εισαγωγή backdoors στο υλικό.
  3. Επιθέσεις υλικολογισμικού: Αυτός ο τύπος περιλαμβάνει την έγχυση κακόβουλου λογισμικού στον κώδικα εκκίνησης. Το κακόβουλο λογισμικό εκτελείται μετά την εκκίνηση του υπολογιστή, θέτοντας ολόκληρο το σύστημα σε κίνδυνο. Οι επιθέσεις υλικολογισμικού είναι γρήγορες, συχνά μη ανιχνεύσιμες (εκτός εάν προστατεύσετε συγκεκριμένα από αυτές) και εξαιρετικά επικίνδυνες.

Οι παραπάνω τύποι επιθέσεων συνήθως έχουν σαν αποτέλεσμα μια ή παραπάνω από τις παρακάτω κύριες απειλές, που θέτουν σε κίνδυνο ή απενεργοποιούν κάποια ή το σύνολο των Εφοδιαστικών Αλυσίδων του οργανισμού.

  • Εκμετάλλευση ευπαθειών Managed Service. Πολλοί πάροχοι Εφοδιαστικής Αλυσίδας παρέχουν υπηρεσίες ή προϊόντα σε πολλούς οργανισμούς ταυτόχρονα μέσω διαχειριζόμενων υπηρεσιών. Αυτή η επεκτασιμότητα είναι ένα επιχειρησιακό πλεονέκτημα για τον πάροχο, αλλά προσελκύει κυβερνοεγκληματίες που στοχεύουν να προκαλέσουν τον όλεθρο σε μεγάλο αριθμό οργανισμών μαζικά.
  • Ευπάθειες Zero-day. Κενά λογισμικού και ευπάθειες που ανακαλύφθηκαν από κυβερνοεγκληματίες πριν από τους σχετικούς κατασκευαστές των αντίστοιχων λογισμικών ή υλικών ομάδων IT
  • Ευπάθειες λογισμικού. Ο πιο συνηθισμένος τρόπος για τους κυβερνοεγκληματίες να παραβιάσουν τα δίκτυα της εφοδιαστικής αλυσίδας είναι μέσω λογισμικού. Μπορούν να εισάγουν κακόβουλο λογισμικό μέσω κακόβουλων ενημερώσεων ή τροποποιώντας τον πηγαίο κώδικά σχετικών λογισμικών ανοιχτού κώδικα. Η επιτυχία αυτών των επιθέσεων εξαρτάται συχνά από την εμπιστοσύνη μεταξύ οργανισμών κατά μήκος της Εφοδιαστικής Αλυσίδας.
  • Εμφυτευμένες κερκόπορτες. Οι κυβερνοεγκληματίες προσπαθούν ολοένα και περισσότερο να υπονομεύσουν τις κοινώς χρησιμοποιούμενες βιβλιοθήκες ή να δημιουργήσουν κακόβουλα εκδόσεις αυτών. Αυτές οι παραβιασμένες βιβλιοθήκες μπορεί να περιλαμβάνουν κερκόπορτες που έχουν σχεδιαστεί για να παρέχουν στον κυβερνοεγκληματία πρόσβαση σε εταιρικά δεδομένα ή συστήματα
  • Απειλές που χορηγούνται κρατικές οντότητες. Για τις ξένες κυβερνήσεις, οι Εφοδιαστικές Αλυσίδες που ανήκουν σε πολιτικούς αντιπάλους μπορεί να είναι τακτικά σημαντικές. Ξένοι κυβερνοεγκληματίες επιτίθενται σε Εφοδιαστικές Αλυσίδες για να διακόψουν ή να σταματήσουν τη ροή υπηρεσιών κοινής ωφελείας, αγαθών και υπηρεσιών, να κλέψουν πληροφορίες πληροφοριών, να αποσταθεροποιήσουν οικονομικές δραστηριότητες ή να αναλάβουν στρατιωτική δράση. Οργανισμοί με διασυνδέσεις με ξένους προμηθευτές θα πρέπει να είναι ιδιαίτερα προσεκτικοί απέναντι σε αυτήν την απειλή
  • Παραβιάσεις δεδομένων. Για πολλούς κυβερνοεγκληματίες, τα προσωπικά και οικονομικά δεδομένα είναι ο θησαυρός που αναζητούν. Οι Εφοδιαστικές Αλυσίδες περιλαμβάνουν μια σειρά από οργανισμούς, μεγάλους και μικρούς. Για έναν έμπειρο χάκερ, η επίθεση σε έναν μικρότερο οργανισμό με λιγότερο εξελιγμένες πρακτικές ασφαλείας και λιγότερους πόρους για συντήρηση λογισμικού είναι απλώς ένα πρώτο βήμα. Τα κλεμμένα διαπιστευτήρια μπορούν να ανοίξουν πόρτες σε μεγαλύτερους στόχους με μεγαλύτερες αποθήκες δεδομένων στην Εφοδιαστική Αλυσίδα.
  • Επιθέσεις Ransomware. Κακόβουλο λογισμικό που κρυπτογραφεί τα δεδομένα ή τα συστήματά του οργανισμού, καθιστώντας τα άχρηστα έως ότου πληρωθούν τα λύτρα, μπορεί να διαταράξει τις λειτουργίες της Εφοδιαστικής Αλυσίδας και να προκαλέσει σημαντικό χρόνο διακοπής λειτουργίας
  • Ευπαθείς / Παραβιασμένοι Συνεργάτες. Πολλοί οργανισμοί επιτρέπουν σε οργανισμούς τρίτων να έχουν πρόσβαση στα δίκτυα και τα συστήματά τους. Εάν ένας κυβερνοεγκληματίας παραβίασε αυτόν τον προμηθευτή ή συνεργάτη, μπορεί να εκμεταλλευτεί αυτή τη σχέση εμπιστοσύνης για να αποκτήσει πρόσβαση στο περιβάλλον του οργανισμού μας.

Τέλος για να δώσουμε το ανάγλυφα το μέγεθος του προβλήματος, δεν πρέπει να ξεχνάμε ότι ενίοτε, οι ίδιες οι εταιρείες κυβερνοασφάλειας είναι στόχοι επιθέσεων στην αλυσίδα εφοδιασμού. Για παράδειγμα, το δημοφιλές δωρεάν εργαλείο εκκαθάρισης, CC Cleaner[6], προϊόν της Avast, παραβιάστηκε με μια κερκόπορτα που παρείχε πρόσβαση σε κυβερνοεγκληματίες στους εκατομμύρια υπολογιστές στους οποίους ήταν εγκατεστημένο το λογισμικό.

Επάρκεια παραδοσιακών μηχανισμών κυβερνοασφάλειας και μετατόπιση τρόπου σκέψης

Από τα παραπάνω, καθίσταται προφανές ότι οι παραδοσιακοί μηχανισμοί ασφάλειας που μπορεί ένας οργανισμός να έχει υλοποιήσει, δεν είναι πια επαρκείς. Ο οργανισμός δεν μπορεί να βασίζεται αποκλειστικά στα μέτρα ασφάλειας του έχει υλοποιήσει εσωτερικά. Δεν μπορεί να εστιάσει αποκλειστικά στους ανθρώπους, τις διαδικασίες και τα συστήματα και να υπάρχει η ψευδαίσθηση και ο εφησυχασμός ότι υπάρχει η μέγιστη δυνατή ασφάλεια. Όσο ο οργανισμός αποτελεί τμήμα μιας Εφοδιαστικής Αλυσίδας αξιόπιστων συνεργατών οι οποίοι έχουν πρόσβαση σε δεδομένα και συστήματα προκειμένου να εκπληρώσουν τον ρόλο τους, ένα περιστατικό ασφάλειας σε έναν μόνο κρίκο της αλυσίδας μπορεί να προκαλέσει αλυσιδωτή αντίδραση, επηρεάζοντας όλους τους άλλους οργανισμούς της Εφοδιαστικής Αλυσίδας.

Είναι απαραίτητη η μετατόπιση του τρόπου σκέψης των υπεύθυνων του οργανισμού. Η κυβερνοασφάλεια οργανισμών που βασίζουν την ύπαρξή τους σε μια ομαλή λειτουργία Εφοδιαστικής Αλυσίδας δίνουν ολοένα και περισσότερο το προβάδισμα στη διαχείριση των σχετικών κινδύνων κυβερνοασφάλειας των προμηθευτών τους, όχι μόνο των δικών τους

Ο καταλύτης για αυτή τη μετατόπιση είναι διπλός. Πρώτον, οι οργανισμοί αναγνωρίζουν την ανάγκη για ανθεκτικότητα της Εφοδιαστικής Αλυσίδας ως αποτέλεσμα της πανδημίας, των γεωπολιτικών αλλαγών, των δυσμενών καιρικών συνθηκών και άλλων πρόσφατων γεγονότων που έχουν διαταράξει τους οργανισμούς. Δεύτερον, οι επιθέσεις κυβερνοασφάλειας σε εταιρικές Εφοδιαστικές Αλυσίδες αυξάνονται σε αριθμό, σοβαρότητα και πολυπλοκότητα. Σύμφωνα με το Ινστιτούτο Ponemon[7], το 98% των εταιρειών έχουν επηρεαστεί αρνητικά από μια παραβίαση που σημειώθηκε σε έναν οργανισμό στο δίκτυό τους. Το μακροπρόθεσμο κόστος, συμπεριλαμβανομένης της φήμης και άλλων ζημιών στην εταιρική αξία, μπορεί να είναι υψηλό.

Για να διατηρήσουν την ανθεκτικότητά τους απέναντι στους κινδύνους κυβερνοασφάλειας στην Εφοδιαστική Αλυσίδα τους, οι οργανισμοί χρειάζονται μεγαλύτερη προβολή και επιρροή στα ψηφιακά συστήματα και τις πρακτικές των προμηθευτών καθώς και των πελατών τους. Με τον τρόπο αυτό μπορούν να κάνουν αισθητές βελτιώσεις στη δική τους ανθεκτικότητα εφαρμόζοντας ένα πρόγραμμα που διαχειρίζεται τους κινδύνους κυβερνοασφάλειας τρίτων στην Εφοδιαστική Αλυσίδα τους.

Πρόγραμμα διαχείρισης κινδύνων

Οι επιθέσεις στην Εφοδιαστική Αλυσίδα αποτελούν σημαντικό κίνδυνο για έναν οργανισμό και μπορεί να έχουν δραματικές επιπτώσεις. Οι οργανισμοί μπορούν να λάβουν μια ποικιλία μέτρων για να αποτρέψουν επιθέσεις στην αλυσίδα εφοδιασμού ή να ελαχιστοποιήσουν τον αντίκτυπό τους.

Πυρήνας των μέτρων που ο οργανισμός θα πρέπει να πάρει για τη διασφάλιση της Εφοδιαστικής Αλυσίδας, αποτελεί η υλοποίηση ενός – ζωτικής σημασίας στο σημερινό ψηφιακό τοπίο – προγράμματος διαχείρισης κινδύνων. Πολλοί οργανισμοί έχουν επί του παρόντος μια κατακερματισμένη προσέγγιση για την ασφάλεια της Εφοδιαστικής Αλυσίδας και αντιμετωπίζουν προκλήσεις όπως η αναγνώριση και διαχείριση κινδύνου, η αξιολόγηση λογισμικού τρίτων, η περιορισμένη πληροφορία απειλών για έγκαιρη λήψη αποφάσεων και η έλλειψη επιχειρησιακής ανθεκτικότητας.

Για την εξασφάλιση της Εφοδιαστικής Αλυσίδας, η υιοθέτηση μιας προληπτικής προσέγγισης που είναι καλά καθορισμένη, προσαρμοστική και βελτιστοποιημένη από δεδομένα και τεχνητή νοημοσύνη είναι ένα από τα πιο σημαντικά πράγματα που μπορεί να κάνει του ένας οργανισμός. Για μια τέτοια προσέγγιση, είναι απαραίτητη η εφαρμογή των κάτωθι πέντε κορυφαίων πρακτικών για την ανάπτυξη ενός σχεδίου διαχείρισης κινδύνων στον κυβερνοχώρο.

  1. Πραγματοποίηση αξιολογήσεων κινδύνου. Τακτική αξιολόγηση των κινδύνων στον κυβερνοχώρο που σχετίζονται με την Εφοδιαστική Αλυσίδα του οργανισμού -συμπεριλαμβανομένων των συστημάτων και διαδικασιών που χρησιμοποιούνται από τους προμηθευτές. Προσδιορισμός τυχόν τρωτών σημείων και προτεραιοποίηση του μετριασμού των πιο κρίσιμων με μεγαλύτερο επιχειρηματικό αντίκτυπο.
  2. Καθιέρωση πρωτόκολλων ασφαλείας. Ορισμός σαφών πρωτόκολλων ασφαλείας για τους προμηθευτές, συμπεριλαμβανομένων κατευθυντήριων γραμμών για την προστασία δεδομένων, τον έλεγχο πρόσβασης και την απόκριση συμβάντων. Επιβεβαίωση ότι οι προμηθευτές διαθέτουν τα απαραίτητα μέτρα ασφαλείας, όπως τείχη προστασίας, κρυπτογράφηση, ισχυρούς κωδικούς πρόσβασης και έλεγχο ταυτότητας πολλαπλών παραγόντων.
  3. Εφαρμογή συνεχούς παρακολούθησης. Συνεχής παρακολούθηση της Εφοδιαστικής Αλυσίδας για τυχόν περιστατικά ασφάλειας, συμπεριλαμβανομένων προσπαθειών hacking, παραβιάσεων δεδομένων και μολύνσεων από κακόβουλο λογισμικό. Καθιέρωση ενός σχεδίου αντιμετώπισης περιστατικών σε περίπτωση που συμβεί παραβίαση ασφαλείας και περιοδική εκτέλεση ασκήσεων και δοκιμών για την εξασφάλιση ότι το σχέδιο θα εκτελεστεί σύμφωνα με τον σχεδιασμό, όταν έρθει η ώρα τη μυϊκή μνήμη όταν έρθει η ώρα.
  4. Ενθάρρυνση της εκπαίδευσης των προμηθευτών. Οι περισσότεροι οργανισμοί εκπαιδεύουν το εργατικό δυναμικό τους σε θέματα και πρακτικές που σχετίζονται με την ασφάλεια στον κυβερνοχώρο για την προστασία των δεδομένων και των περιουσιακών στοιχείων του οργανισμού. Εάν η δομημένη εκπαίδευση δεν προσφέρεται από τον προμηθευτή, η επέκταση της εκπαίδευσης στους προμηθευτές του οργανισμού σχετικά με τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο και τη σημασία της προστασίας ευαίσθητων δεδομένων πρέπει να ενθαρρυνθεί.
  5. Τακτικός έλεγχος και ενημέρωση των πολιτικών. Ο τακτικός έλεγχος και η ενημέρωση των πολιτικών διαχείρισης κινδύνων στον κυβερνοχώρο είναι απαραίτητη, ώστε να βοηθήσει να παραμείνει ο οργανισμός μπροστά από τις εξελισσόμενες απειλές και να διατηρήσει το επίπεδο ασφάλειας της Εφοδιαστικής Αλυσίδας.

Είναι επίσης αναγκαίος ο προσδιορισμός του κίνδυνου στον κυβερνοχώρο κατά τη φάση της ενσωμάτωσης ενός νέου προμηθευτή στην Εφοδιαστική Αλυσίδα του οργανισμού. Προτού ο οργανισμός συνάψει σύμβαση με έναν προμηθευτή, πρέπει να προσδιοριστεί όσο το δυνατόν ο κίνδυνος που η νέα προσθήκη ενέχει. Συνήθως, αυτό επιτυγχάνεται χρησιμοποιώντας ερωτηματολόγια ή αξιολογήσεις ασφαλείας που μπορούν να παρέχουν ένα πλαίσιο σχετικά με τους ελέγχους ασφαλείας των προμηθευτών σας και τις πρακτικές διαχείρισης κινδύνου. Πρέπει να αναγνωρίσουμε, ότι τα ερωτηματολόγια παρέχουν μόνο ένα στιγμιότυπο του κινδύνου. Καθώς οι προμηθευτές μεταμορφώνονται ψηφιακά, προσθέτουν νέους συνεργάτες και αναθέτουν λειτουργίες σε τρίτους, ο κίνδυνος στον κυβερνοχώρο αναδύεται συνεχώς, και πρέπει να αξιολογείται διαρκώς (ή ανά τακτά χρονικά διαστήματα).

Επίσης, είναι άκρως απαραίτητος ο σχηματισμός μιας συνεργατικής ανώτερης ηγετικής ομάδας που μπορεί να εξασφαλίσει συμμετοχή σε θέματα ασφάλειας, πληροφορικής, προμηθειών, νομικών, μηχανικών και άλλων σχετικών λειτουργιών, καθώς και να λαμβάνει αποφάσεις συλλογικά

  • Καθιέρωση ενός επίσημου, διαφανούς προγράμματος διαχείρισης κινδύνων για την αλυσίδα εφοδιασμού με πολιτικές, διαδικασίες, ευθύνες και επαρκή προϋπολογισμό και προσωπικό
  • Προσδιορισμός και κατηγοριοποίηση των κρίσιμων προμηθευτών της εταιρείας
  • Καθορισμός των συστημάτων που είναι κρίσιμα για τη διασφάλιση της ακριβούς αναφοράς ουσιωδών αδυναμιών και σημαντικών ελλείψεων που σχετίζονται με τον κίνδυνο τρίτων

Είναι αδύνατο να διασφαλιστεί η ασφάλεια από μια επίθεση στην αλυσίδα εφοδιασμού. Επομένως, ο πρωταρχικός στόχος της αμυνόμενης πλευράς θα πρέπει να είναι να σταματήσει την επίθεση σε πρώιμο στάδιο προτού ο επιτιθέμενος μπορέσει να αποκτήσει βάση μέσα στην υποδομή και να προκαλέσει ζημιά.

Παρά την αυξανόμενη τεχνολογική πολυπλοκότητα των επιθέσεων στον κυβερνοχώρο στα δίκτυα της εφοδιαστικής αλυσίδας, το ανθρώπινο λάθος εξακολουθεί να είναι η κύρια αιτία παραβιάσεων της ασφάλειας στον κυβερνοχώρο. Η αύξηση της ευαισθητοποίησης για την ασφάλεια των πληροφοριών είναι ένα ουσιαστικό επίπεδο άμυνας. Η εκπαίδευση / ευαισθητοποίηση πρέπει να περιλαμβάνει κατ’ ελάχιστο

  • ασφάλεια στον κυβερνοχώρο
  • ασφάλεια των πληροφοριών με ενημέρωση για πιθανούς φορείς επίθεσης και κοινές τεχνικές επίθεσης στην αλυσίδα εφοδιασμού σας
  • χαρακτηριστικά ασφαλών προμηθευτών, και αναζήτηση ευπαθειών προμηθευτών
  • σενάρια που απεικονίζουν τον αντίκτυπο των επιθέσεων στον κυβερνοχώρο σε διάφορους ρόλους εργαζομένων, στον οργανισμό συνολικά και σε συνεργάτες στην αλυσίδα εφοδιασμού
  • εξελισσόμενες τεχνικές απειλών, εργαλεία και μαθήματα για την βελτίωση των συμπεριφορών τους αναφορικά με την ασφάλεια στον κυβερνοχώρο
  • την σημασία της ασφάλειας σύνδεσης και κωδικού πρόσβασης για την πρόληψη επιθέσεων στον κυβερνοχώρο και την ανθεκτικότητα της αλυσίδας εφοδιασμού
  • εκπαίδευση και δοκιμές για τον εντοπισμό μηνυμάτων ηλεκτρονικού ψαρέματος, την προστασία του λογισμικού και των συσκευών τους και την αναγνώριση κακόβουλου λογισμικού
  • ενημερωμένες, σχετικές και ενδιαφέρουσες πληροφορίες

Η προώθηση μιας κουλτούρας κυβερνοασφάλειας στον οργανισμό και σε ολόκληρη την Εφοδιαστική Αλυσίδα είναι απαραίτητη για τη διασφάλιση της ακεραιότητας των λειτουργιών. Η ανοιχτή επικοινωνία και η συνεργασία μεταξύ του οργανισμού και των συνεργατών στην Εφοδιαστική Αλυσίδα πρέπει να ενθαρρύνεται, τονίζοντας τη σημασία της κοινής ευθύνης για τη διατήρηση ενός ασφαλούς ψηφιακού οικοσυστήματος.

Όπως επισημαίνουν οι ειδικοί, η αυτοματοποίηση της πλειονότητας των χειροκίνητων διαδικασιών στη διαχείριση της εφοδιαστικής αλυσίδας είναι ζωτικής σημασίας. Είναι ένα κρίσιμο βήμα προς τη μείωση των κινδύνων που προκύπτουν από ανθρώπινα λάθη και άλλους τομείς.

Ένα σωστά διαμορφωμένο τείχος προστασίας δεν θα πρέπει μόνο να αποκλείει μια προσπάθεια πρόσβασης αλλά και να καταγράφει την ώρα, τον κόμβο που δέχεται επίθεση και τη διεύθυνση από την οποία πραγματοποιήθηκε η επίθεση. Τα εργαλεία εκτεταμένης ανίχνευσης και απόκρισης (XDR) ενοποιούν όλα τα δεδομένα σε μια κεντρική τοποθεσία, επιτρέποντας στους ειδικούς ασφάλειας να εντοπίζουν άμεσα τις απειλές, να εντοπίζουν το ταξίδι του εισβολέα στην υποδομή της εταιρείας και να τις εξουδετερώνουν. Χωρίς αυτή την παρακολούθηση, οι κυβερνοεγκληματίες μπορούν ενδεχομένως να παραμείνουν απαρατήρητοι για μήνες, έχοντας πρόσβαση σε κρίσιμες πληροφορίες όλη την ώρα.

Η προσεκτική παρακολούθηση κάθε τελικού σημείου μπορεί να βοηθήσει στον έγκαιρο εντοπισμό ύποπτων δραστηριοτήτων. Κάθε διακομιστής και υπολογιστής στο δίκτυο ενός οργανισμού πρέπει να συλλέγει αρχεία καταγραφής συμβάντων. Εάν κάποιος αποκτήσει απομακρυσμένη πρόσβαση στο λογαριασμό ενός υπαλλήλου και επιχειρήσει να σπάσει κωδικούς πρόσβασης μέσω επίθεσης ωμής βίας, αυτές οι προσπάθειες ελέγχου ταυτότητας θα καταγραφούν και θα αντικατοπτρίζονται σε αρχεία καταγραφής.

Ιδιαίτερη έμφαση θα πρέπει να δοθεί στην αντιμετώπιση περιστατικών, εστιάζοντας στην ανάπτυξη στρατηγικών για τον περιορισμό των περιστατικών και την ελαχιστοποίηση των ζημιών. Είναι ζωτικής σημασίας να διαμορφωθεί ένα ολοκληρωμένο σχέδιο και να διαδοθεί σε όλους τους εργαζόμενους, αναφέροντας λεπτομερώς τις κατάλληλες διαδικασίες που πρέπει να ακολουθούνται σε καταστάσεις έκτακτης ανάγκης. Αυτό θα μπορούσε να περιλαμβάνει οδηγίες σχετικά με το ποιος να ειδοποιηθεί σε περίπτωση απροσδόκητης δέσμευσης σε ένα χώρο αποθήκευσης, ανακάλυψης άγνωστων αρχείων ή ασυνήθιστης συμπεριφοράς του συστήματος. Η διασφάλιση ότι όλοι οι εργαζόμενοι έχουν πλήρη επίγνωση των ρόλων και των ευθυνών τους είναι πρωταρχικής σημασίας. Επίσης, η διατήρηση σαφούς και αποτελεσματικής επικοινωνίας τόσο κατά τη διάρκεια όσο και μετά από ένα περιστατικό είναι ζωτικής σημασίας.

Η αξιολόγηση της στρατηγικής ασφάλειας θεωρείται αναγκαία για τον προσδιορισμό του κινδύνου και της συμμόρφωσης. Σε αυτό το πλαίσιο, πρέπει να γίνει αξιολόγηση της υφιστάμενης διακυβέρνησης ασφάλειας, συμπεριλαμβανομένων των πτυχών του απορρήτου των δεδομένων, του κινδύνου τρίτων, και των αναγκών και κενών συμμόρφωσης με τους κανονιστικούς κανόνες της πληροφορικής. Αυτό αποτελεί σημαντική προσέγγιση έναντι των επιχειρηματικών προκλήσεων, απαιτήσεων και στόχων. Οι πρακτικές της ασφάλειας περιλαμβάνουν την ποσοτικοποίηση των κινδύνων, την ανάπτυξη προγραμμάτων ασφαλείας, τη συμμόρφωση με κανονισμούς και πρότυπα, καθώς και την εκπαίδευση σε θέματα ασφάλειας.

Η μείωση της ευπάθειας περνά από δοκιμές διείσδυσης, με την εντοπισμό προβλημάτων όπως κακές διαμορφώσεις βάσεων δεδομένων, ανεπαρκείς πολιτικές κωδικών πρόσβασης και απομάκρυνση προεπιλεγμένων κωδικών πρόσβασης. Η χρησιμοποίηση ειδικών σε δοκιμές διείσδυσης είναι ζωτικής σημασίας για τον εντοπισμό ευπαθών σημείων σε όλες τις πτυχές νέων και παλαιών εφαρμογών, υποδομής πληροφορικής και ανθρώπινου παράγοντα, μέσω προσομοίωσης phishing και κόκκινης ομαδοποίησης.

Η αναγνώριση και κρυπτογράφηση των δεδομένων αποτελούν ουσιώδες τμήμα των προγραμμάτων και των πολιτικών προστασίας δεδομένων. Τα εν λόγω προγράμματα και πολιτικές θα πρέπει να ενσωματώνουν εργαλεία εντοπισμού και ταξινόμησης, με σκοπό τον εντοπισμό βάσεων δεδομένων και αρχείων που περιλαμβάνουν ευαίσθητες πληροφορίες πελατών, οικονομικά δεδομένα και προσωπικά αρχεία. Μόλις ανιχνευθούν τα δεδομένα, η χρήση των πιο πρόσφατων προτύπων και πολιτικών κρυπτογράφησης προστατεύει τα δεδομένα κατά την αποθήκευση και τη μεταφορά, καλύπτοντας πλήθος τύπων δεδομένων, όπως πληροφορίες πελατών, οικονομικά στοιχεία, παραγγελίες, αποθέματα, συσκευές Internet of Things (IoT), υγεία και άλλα.

Καθώς οι συνδέσεις και οι αλληλεξαρτήσεις μεταξύ εταιρειών και τρίτων αυξάνονται σε όλο το οικοσύστημα της εφοδιαστικής αλυσίδας, οι οργανισμοί πρέπει να επεκτείνουν τον ορισμό τους για τη διαχείριση κινδύνου πωλητή για να συμπεριλάβουν ασφάλεια από άκρο σε άκρο. επιτρέπει στις εταιρείες να αξιολογούν, να βελτιώνουν, να παρακολουθούν και να διαχειρίζονται τον κίνδυνο καθ’ όλη τη διάρκεια της σχέσης., ειδικά δε σε περίπτωση παραβίασης συμμόρφωσης, τερματισμού λειτουργίας συστήματος ή παραβίασης δεδομένων.

Βέλτιστες πρακτικές

Άλλες βέλτιστες πρακτικές ασφάλειας της Εφοδιαστικής Αλυσίδας μπορούν να περιλαμβάνουν τα ακόλουθα:

  • Αρχή ελάχιστου προνομίου: Η αρχή του ελάχιστου προνομίου δηλώνει ότι οι χρήστες, οι εφαρμογές, τα συστήματα κ.λπ. πρέπει να έχουν μόνο την πρόσβαση και τα δικαιώματα που απαιτούνται για τον ρόλο τους. Η ελαχιστοποίηση της πρόσβασης περιορίζει τη ζημία που μπορεί να προκαλέσει μια παραβιασμένη εφαρμογή ή προμηθευτής.
  • Τμηματοποίηση Δικτύου: Η τμηματοποίηση δικτύου χωρίζει ένα δίκτυο σε πολλά κομμάτια με βάση το σκοπό και το επίπεδο εμπιστοσύνης. Η τμηματοποίηση δικτύου καθιστά πιο δύσκολο για έναν εισβολέα να μετακινηθεί μέσω του εταιρικού δικτύου χωρίς εντοπισμό.
  • DevSecOps: Το παράδειγμα (paradigm) DevSecOps υποστηρίζει την ενσωμάτωση της ασφάλειας στον κύκλο ζωής της ανάπτυξης. Λαμβάνοντας υπόψη πιθανές ανησυχίες για την ασφάλεια νωρίτερα στη διαδικασία ανάπτυξης, οι οργανισμοί μπορούν ενδεχομένως να εντοπίσουν και να αποκαταστήσουν τις ευπάθειες της εφοδιαστικής αλυσίδας πριν οι εφαρμογές φτάσουν στην παραγωγή.
  • Σάρωση ευπαθειών: Οι σαρωτές ευπάθειας έχουν τη δυνατότητα να εντοπίζουν τόσο γνωστά όσο και άγνωστα τρωτά σημεία σε μια εφαρμογή. Οι τακτικές σαρώσεις ευπάθειας επιτρέπουν σε έναν οργανισμό να εντοπίζει και να ανταποκρίνεται γρήγορα σε νέα τρωτά σημεία στον κώδικα τρίτων.
  • Ανάλυση Σύνθεσης Λογισμικού (SCA): Το SCA εντοπίζει αυτόματα τις εξαρτήσεις μέσα σε μια εφαρμογή. Η εκτέλεση SCA επιτρέπει σε έναν οργανισμό να διατηρήσει την ορατότητα της χρήσης του κώδικα τρίτων κατασκευαστών και να παρακολουθεί αυτόν τον κώδικα για τρωτά σημεία ή πιθανές κερκόπορτες.
  • Αυτοματοποιημένη ασφάλεια: Η προληπτική άμυνα είναι απαραίτητη για την ελαχιστοποίηση του κινδύνου και των επιπτώσεων των επιθέσεων σε έναν οργανισμό. Οι αναλυτές SOC θα πρέπει να χρησιμοποιούν άμυνες εστιασμένες στην πρόληψη για την ασφάλεια των διαδικτυακών εφαρμογών.
  • Κυνήγι απειλών: Το κυνήγι απειλών είναι η πρακτική της προληπτικής αναζήτησης άγνωστων απειλών μέσα στο περιβάλλον ενός οργανισμού. Το κυνήγι απειλών μπορεί να βοηθήσει στον εντοπισμό των εισβολέων που έχουν αποκτήσει πρόσβαση σε εταιρικά συστήματα μέσω επιθέσεων στην αλυσίδα εφοδιασμού.

Τέλος, είναι αναγκαίο να τονίσουμε ότι η ασφάλεια Εφοδιαστικής Αλυσίδας είναι μια πολύπλοκη άσκηση. Σε έναν μεγάλο οργανισμό, ο τεράστιος αριθμός τρίτων μερών μπορεί να είναι ένα από τα μεγαλύτερα εμπόδια στην εφαρμογή ενός προγράμματος διαχείρισης κινδύνου. Σε αυτή την περίπτωση, προτείνεται η σταδιακή εφαρμογή των παραπάνω μέτρων, δίνοντας προτεραιότητα σε περιοχές, επιχειρηματικές μονάδες ή σειρές προϊόντων – όποιες περιοχές έχουν τρίτους που ενέχουν υψηλότερο κίνδυνο.

Επίλογος

Ο αριθμός, η σοβαρότητα και η πολυπλοκότητα των επιθέσεων στον κυβερνοχώρο αυξάνονται καθώς οι Εφοδιαστικές Αλυσίδες των εταιρειών γίνονται πιο περίπλοκες, αποτέλεσμα πολλαπλών επιπέδων δικτύου και πολυάριθμων ψηφιακών τερματικών σημείων

Σχεδόν όλες οι εταιρείες – 98% – έχουν επηρεαστεί αρνητικά από μια παραβίαση της κυβερνοασφάλειας που σημειώθηκε στην Εφοδιαστική τους Αλυσίδα. Η πρόβλεψη ότι οι επιθέσεις αυτές θα αυξηθούν το 2024 είναι τεκμηριωμένη και αναπόφευκτη.

Οι εταιρείες που διαχειρίζονται προληπτικά τους κινδύνους κυβερνοασφάλειας τρίτων μερών μπορούν να βελτιώσουν σημαντικά τη συνολική ανθεκτικότητα της Εφοδιαστικής Αλυσίδας.

Όσο έμμεσα κι αν είναι συνδεδεμένο ένα σύστημα προμηθευτών με του οργανισμού σας, οι ευπάθειές του γίνονται δική σας ευθύνη. Είστε τόσο ασφαλείς όσο ο πιο αδύναμος κρίκος στην Εφοδιαστική Αλυσίδα. Οι εταιρείες που εφαρμόζουν μια καλά σχεδιασμένη προσέγγιση για τη διαχείριση της ασφάλειας στον κυβερνοχώρο της Εφοδιαστικής Αλυσίδας μπορούν να μειώσουν τους κινδύνους και να μειώσουν το κόστος.

Εάν μια επίθεση στην Εφοδιαστική Αλυσίδα πετύχει, οι συνέπειες μπορεί να είναι σοβαρές. Θα μπορούσε να οδηγήσει όχι μόνο σε σημαντική οικονομική ζημιά και στη φήμη ή σε συμβιβασμό της υποδομής πληροφορικής, αλλά θα μπορούσε επίσης να σταματήσει εντελώς την παραγωγή ή ακόμη και να προκαλέσει περιβαλλοντική καταστροφή.

Συμπερασματικά, ο ρόλος της κυβερνοασφάλειας στη διαχείριση της Εφοδιαστικής Αλυσίδας για τους οργανισμούς είναι κρίσιμος για τη διασφάλιση της ακεραιότητας και της επιτυχίας των λειτουργιών τους. Εφαρμόζοντας βέλτιστες πρακτικές και ενισχύοντας μια κουλτούρα κυβερνοασφάλειας σε όλη την Εφοδιαστική Αλυσίδα, θα ενισχύσετε τους κρίκους στην ψηφιακή σας αλυσίδα και θα προστατεύσετε την επιχείρησή σας από πιθανές απειλές.

Η επένδυση στην κυβερνοασφαλεια της Εφοδιαστικής Αλυσίδας όχι μόνο βοηθά στην προστασία της μικρής επιχείρησής σας από πιθανές απειλές, αλλά προσφέρει επίσης πολλά πρόσθετα οφέλη:

  • Βελτιωμένη φήμη: Η επίδειξη της δέσμευσής του οργανισμού για την κυβερνοασφάλεια Εφοδιαστικής Αλυσίδας μπορεί να βοηθήσει στην οικοδόμηση εμπιστοσύνης με τους πελάτες, τους συνεργάτες και τους ενδιαφερόμενους φορείς.
  • Βελτιωμένη λειτουργική αποτελεσματικότητα: Μια ασφαλής Εφοδιαστική Αλυσίδα είναι λιγότερο επιρρεπής σε διακοπές, επιτρέποντάς την διατήρηση να διατηρείτε συνεπών λειτουργιών και την ικανοποίηση των απαιτήσεων των πελατών.
  • Ανταγωνιστικό πλεονέκτημα: Η ιεράρχηση της κυβερνοασφάλειας Εφοδιαστικής Αλυσίδας σας μπορεί να δώσει ανταγωνιστικό πλεονέκτημα έναντι ανταγωνιστών που ενδέχεται να μην λαμβάνουν τις ίδιες προφυλάξεις

[1] https://www.zdnet.com/article/anatomy-of-the-target-data-breach-missed-opportunities-and-lessons-learned/

[2] https://cisomag.com/ticketmaster-hacked-payment-information-of-several-customers-may-have-been-compromised/

[3] https://www.trendmicro.com/vinfo/pl/security/news/cyber-attacks/operation-cloud-hopper-what-you-need-to-know

[4] https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know

[5] https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/

[6] https://techcrunch.com/2023/10/27/ccleaner-says-hackers-stole-users-personal-data-during-moveit-mass-hack

[7] https://www.securityweek.com/98-of-firms-have-a-supply-chain-relationship-that-has-been-breached-analysis/