Își cunoaște compania dvs. dependențele și știe cum să atenueze riscurile cauzate de un atac asupra lor?

La o discuție care a avut loc săptămâna trecută în cadrul unui panel la DEF CON 33, intitulată „Adversaries at war: Tactics, technologies, and lessons from modern battlefields” (Adversari în război: Tactici, tehnologii și lecții de pe câmpurile de luptă moderne), au fost prezentate mai multe idei care dau de gândit, precum și o concluzie clară: deși tactici digitale precum dezinformarea și campaniile de influențare sunt utile în conflictele moderne, ele nu vor câștiga războiul. Asta pentru că, atunci când încep să cadă bombe și războiul este în plină desfășurare, dezinformarea prin canale digitale își pierde din importanță. Este de înțeles că victimele conflictului au priorități mai urgente: hrană, adăpost și supraviețuire.

Când discuția s-a îndreptat spre posibilitatea de a câștiga un război folosind atacuri cibernetice și perturbări digitale, a existat, de asemenea, un consens printre participanții la panel că atacurile cibernetice produc daune temporare, în timp ce o bombă care lovește o țintă este o metodă de distrugere mai eficientă și de durată.

Atacurile asupra infrastructurii critice din Ucraina confirmă acest fapt: actorii afiliați Rusiei au lansat numeroase atacuri cibernetice împotriva rețelei electrice a țării, rezultând întreruperi temporare, deoarece sistemele pot fi reconstruite și repuse în funcțiune într-un timp relativ scurt. Pe de altă parte, o bombă care lovește o centrală electrică va provoca, cel mai probabil, pagube pe termen lung și limitări ale serviciilor care ar putea necesita luni sau chiar ani pentru a fi remediate. Marea concluzie a acestei părți din discuție este că un război nu poate fi câștigat doar prin mijloace cibernetice – el trebuie în continuare câștigat pe câmpul de luptă fizic.

Securitatea cibernetică și cea fizică

Discuția a evoluat apoi spre modul în care domeniul cibernetic îl influențează pe cel fizic. Unul dintre vorbitori a remarcat, în esență, că „o armată nu poate lupta dacă nu este hrănită”. Cu alte cuvinte, pe măsură ce tot mai mulți contractori civili sunt implicați în furnizarea logisticii necesare funcționării unei armate, suprafața de atac devine mai extinsă decât ar putea părea la prima vedere.

Panelul a folosit exemplul Taco Bell ca analogie fictivă. Un hacker ar putea susține că a modificat sursa de apă a Taco Bell, însă, la o examinare mai atentă, s-ar dovedi că a manipulat doar dozatorul de apă al unui singur restaurant, ceea ce nu ar fi suficient pentru a-i afecta activitatea.
Totuși, un atac cibernetic asupra lanțului de aprovizionare al Taco Bell i-ar putea bloca activitatea. Cum? Prin oprirea livrărilor de produse către restaurant. Această dependență ar putea fi chiar mai puțin evidentă: un atac asupra companiilor care furnizează carnea folosită în tacos ar putea determina Taco Bell să își înceteze operațiunile din cauza lipsei ingredientelor necesare preparării meniurilor. Analogia este valabilă și pentru armată: fără hrană, trupele nu pot lupta sau, în cel mai bun caz, capacitatea lor este limitată.

Care sunt consecințele pentru afacerea dvs.

Dincolo de discuția din cadrul panelului, se ridică o întrebare esențială pentru companii: înțeleg ele cu adevărat care sunt dependențele lor pentru a-și menține reziliența operațională? Înțeleg ele dependența pe care clienții lor o au față de ele pentru a asigura funcționarea continuă a propriilor afaceri?

Păstrând analogia cu Taco Bell, imaginați-vă un atac cibernetic care elimină un element esențial pentru funcționarea afacerii; de exemplu, dacă firma depinde de un furnizor pentru condimentele folosite la tacos, atunci un atac cibernetic asupra furnizorului ar afecta capacitatea Taco Bell de a continua să funcționeze. Nu este doar o speculație – există exemple reale de atacuri cibernetice care au provocat acest tip de întrerupere. De pildă, incidentul cibernetic suferit de Change Healthcare, o companie de procesare a datelor medicale, a dus la oprirea furnizării serviciilor medicale în numeroase cabinete și spitale.

Astăzi, din câte știu, infractorii cibernetici solicită răscumpărare doar celor pe care îi atacă direct. Dar ce s-ar întâmpla dacă un infractor cibernetic ar decide să atace o terță parte și apoi să ceară plata unei răscumpărări de la toate companiile care depind de acel furnizor? În exemplul meu, să presupunem că firma care produce condimentele pentru tacos este afectată de un atac ransomware și, deși infractorul poate solicita direct plata de la această companie, ar obține mai mult dacă cere bani de la toate companiile dependente de produsul furnizorului, întrucât lipsa aprovizionării le-ar putea costa mai mult decât pe furnizorul în sine.

Deși această strategie de monetizare poate părea speculativă, există aici un aspect important: înțelege cu adevărat afacerea dvs. care îi sunt dependențele și cum să reducă riscul unui atac asupra celor de care depinde? Un exemplu real ar putea fi un atac asupra unei companii de catering contractate să asigure hrana pacienților dintr-un spital. Dacă, în urma unui atac cibernetic, capacitatea de a hrăni pacienții este afectată, spitalul ar putea fi nevoit să declare un incident major și să oprească internările de noi pacienți. Într-un astfel de scenariu, ar plăti spitalul o răscumpărare pentru a-și relua aprovizionarea prin servicii de catering?

Concluzia esențială pe care am extras-o din această dezbatere este următoarea: trebuie să cartografiem și să înțelegem pe deplin toate dependențele pe care ne bazăm și să ne asigurăm că avem reziliență acolo unde este necesar. Dacă nu putem ajunge la un anumit nivel de reziliență, atunci trebuie, cel puțin, să înțelegem riscul pe care îl presupun aceste dependențe.