מהי התקפת שרשרת האספקה
מתקפת שרשרת אספקה היא התקפת סייבר שמנסה לגרום נזק לחברה על ידי ניצול פגיעויות ברשת שרשרת האספקה שלה. התקפה בשרשרת האספקה כרוכה בתהליכי פריצה או הסתננות רשת רציפה בכדי לקבל גישה לרשת של חברה. יותר מ -60% מהתקפות הסייבר מקורן בשרשרת האספקה או מגורמים חיצוניים המנצלים פגיעויות אבטחה בתוך שרשרת האספקה, כך עולה מסקר שנערך ב- 2016 על ידי חברת Accenture .
שוברים למטה התקפת שרשרת אספקה
רשת שרשרת האספקה מהווה יעדים תכופים לפשעי סייבר, שכן חוליה חלשה בשרשרת האספקה יכולה להעניק לפושעי הסייבר גישה לארגון הגדול יותר שנמצא תחת משמורת הנתונים המבוקשים. פיגועי שרשרת האספקה חושפים התערבות ברשת האספקה של החברה, המגלה כי בקרות אבטחת הסייבר של הארגון חזקות רק כמו זו של הצד החלש ביותר ברשת.
אימוץ צורות שונות של טכנולוגיה מתעוררת הביא כמות עצומה של נתונים בצורות שונות. באמצעות משאבים כמו אינטרנט, טלפונים סלולריים ומחשוב ענן, חברות יכולות כעת להשיג אלקטרונית נתונים ולשתף אותם עם השותפים שלהם וספקי צד ג '. ישויות כמו אנשים פרטיים, עסקים וממשלות מאמינות כי ניתן להשתמש במידע רלוונטי שניתן לכרות ממערך הנתונים כדי לשפר טוב יותר את פעולותיהם ותהליכיהם, ובכך לשפר את מעורבות הלקוחות שלהם. אולם חילופי נתונים שנערכו בין חברות שונות מביאים עמה רמת סיכון מסוימת הכרוכה בגניבת סייבר. פושעי סייבר מתוחכמים מבינים גם את חשיבות הנתונים המוחזקים על ידי חברות ואסטרטגיות מכשירים כדי לקבל גישה למידע הרגיש.
הדחף למזעור עלויות התפעול באמצעות התקדמות טכנולוגית הביא את הצורך ברשת אספקה. רשת אספקה של חברה מורכבת בדרך כלל מגורמים של צדדים שלישיים כמו יצרנים, ספקים, מטפלים, משלוחים, ורוכשים, כולם המעורבים בתהליך הפיכת המוצרים לזמינים לצרכני הקצה. מכיוון שלחברת היעד עשויה להיות מערכת אבטחה העשויה להיות בלתי חדירה אפילו לפושעי הסייבר המתוחכמים, מתקפות שרשרת האספקה מבוצעות על עסקי הצד השלישי ברשת שנחשבים כבעלי האמצעים והתהליכים הפנימיים החלשים ביותר. לאחר שנמצא כי פרוטוקולי האבטחה של חבר אחד חלשים, הפגיעויות של החבר הופכות לסיכון של חברת המטרה.
דוגמאות להתקפות שרשרת אספקה
ישנן מספר דרכים בהן ניתן לתקוף שרשרת אספקה. גניבת תעודות של הספק יכולה להוביל להסתננות של החברות המזוהות עם הספק. לדוגמה, טארגט הייתה קורבן לתקיפה בשרשרת האספקה בשנת 2013. אמצעי האבטחה שלה הופרו כאשר נפגשה אחת מתעודות האבטחה של הצד השלישי שלה. האישורים כללו בדרך כלל כניסה, סיסמאות וגישה לרשת למחשב של Target. נוהלי האבטחה המפוקפקים של הספק איפשרו להאקרים להכנס למערכת של טארגט והביא לגניבה של 70 מיליון מידע אישי המאפשר זיהוי. המשך ההפרה הביא להתפטרות המנכ"ל ועלויות אדירות של החברה שהעלו 200 מיליון דולר.
דרך נוספת שניתן לתקוף את שרשרת האספקה היא באמצעות תוכנה זדונית, הידועה בכינויה תוכנה זדונית. על ידי הטמעת תוכנות זדוניות כמו תולעים, וירוסים, ריגול, סוסים טרויאניים, יחד עם רכיבים מזויפים המשנים את קודי המקור של תוכנת היצרן, יכולים תוקפי סייבר להשיג כניסה לקבצים של חברת היעד ולגנוב את המידע הקנייני שלה.
