Ett nyligen genomfört dataintrång från Qantas som komprometterade personuppgifter för 5.7 miljoner kunder har belyst den pågående cybersäkerhetsrisk som tredjepartsleverantörer utgör för företag. Händelsen, som inträffade i juni, exponerade data som namn, födelsedatum, telefonnummer, e-postadresser och information från kundernas Qantas Frequent Flyer-lojalitetsprogramkonton. Finansiell information, passinformation och lösenord påverkades dock inte.
Men istället för att bryta sig in i det australiska flygbolagets interna IT-system, stal gärningsmännen bakom intrånget informationen genom att lura ett tredjepartskontaktcenter utanför USA att tro att de var Qantas-anställda som behövde återställa information om multifaktorautentisering. Efter att denna viktiga säkerhetsinformation ändrats fick hackarna obehörig åtkomst till en outsourcad molnplattform som innehöll Qantas kunddatabaser.
Man tror att cyberbrottsgruppen Scattered Spider, vars hackare är spridda över USA och Storbritannien, låg bakom hackningen. FBI har sedan dess varnade att gruppen i allt högre grad lanserar sociala ingenjörskonstattacker mot globala flygbolag. Detta kommer samtidigt som forskning från cyberförsäkringsbolaget Cowbell visar att attacker i mjukvaruleveranskedjan har ökat med 431 % under de senaste fyra åren. Med detta i åtanke, vad kan företag göra för att säkra sina leveranskedjor och förhindra incidenter som Qantas-intrånget?
Viktiga lärdomar att lära sig
En av de största lärdomarna från Qantas cyberintrång är att även om multifaktorautentisering är utformad för att fungera som ett extra säkerhetslager, vilket gör det svårare för cyberbrottslingar att hacka sig in i konton, är det inte helt ogenomträngligt. Det säger Jake Moore, global cybersäkerhetsrådgivare på antivirustillverkaren ESET, som säger att ondskefulla människor är kapabla att hacka "även de bästa försvaren".
En andra lärdom från Moore är att företag bör inse att deras leveranskedjor har ”oundvikliga svagheter” som är lätta för hackare att utnyttja, som att helt enkelt utge sig för att vara genuina anställda, och som kan ”göra en hel del förluster”.
Denna uppfattning delas av Vijay Dilwale, huvudkonsult på leverantören av applikationssäkerhetsprogramvara Black Duck. Han menar att även om företag har robusta cyberskydd på plats, är de i princip värdelösa om de leverantörer som företagen förlitar sig på inte ägnar samma uppmärksamhet åt cybersäkerhet. Han berättar för ISMS.online: ”Qantas kärnsystem blev inte intrångade, men miljontals register hamnade ändå i fel händer på grund av en lucka hos en tredje part.”
Dilwale säger att när personlig information läcks ut på det här sättet kan det få "allvarliga" konsekvenser för företag. Dessa inkluderar urholkat kundförtroende, böter från myndigheter och nyhetsartiklar som lägger skulden på både företaget och leverantören, även om den förra inte är skyldig. Han tillägger: "I dagens digitala värld existerar inte den traditionella perimetern på riktigt. Varje leverantör, varje outsourcingleverantör, varje SaaS-plattform är en del av din attackyta."
Konsekvenser för efterlevnad
Med tanke på att förbättrade cybersäkerhetsskydd, såsom MFA, ensamma inte räcker för att skydda organisationer från förödande dataläckor medan attacker i leveranskedjan fortsätter att öka, behöver organisationer helt klart göra mer.
För Dilwale på Black Duck innebär det att behandla leverantörsriskbedömning som en kontinuerlig övning snarare än en enskild aktivitet med kryssrutor vid onboarding av nya leverantörer. Förutom att noggrant granska tredjepartsleverantörer säger han att organisationer kontinuerligt måste övervaka de cyberrisker som leverantörer utgör och i formella avtal avtala att leverantörer tar cybersäkerhet på allvar. I dessa bör organisationer få leverantörer att gå med på cybersäkerhetsrevisioner och incidentmeddelanden.
Men dessa ansträngningar handlar inte bara om att skydda ansiktet – de är också en lagstadgad skyldighet. Dilwale förklarar att i Australien tvingar de australiska integritetsprinciperna företag att rapportera alla typer av cyberintrång. Samtidigt understryker branschstandarder som ISO 27001 vikten av riskhantering i leveranskedjan. Han tillägger: ”Budskapet är tydligt: tillsyn över dina leverantörer är inte längre valfritt.”
När det gäller att hantera dessa risker rekommenderar Dilwale att organisationer antar ett informationssäkerhetsledningssystem (ISMS), eftersom det gör det möjligt för dem att övervaka och identifiera sårbarheter i leveranskedjan i varje steg av en leverantörsrelation, från onboarding till offboarding.
”Du kan se till att revisioner inte bara schemaläggs utan faktiskt följs upp med åtgärdande åtgärder. Du kan skapa en komplett bild av din utökade leveranskedja, så att du inte missar de där fjärdepartskopplingarna”, säger han. ”Och du kan inkludera leverantörer i dina incidenthanteringsövningar så att när något går fel vet ni redan hur ni ska agera tillsammans.”
Förutom att använda ett ISMS, Michael Tigges, senior säkerhetsoperationsanalytiker på enterprise cybersecurity platform Huntress, uppmanar organisationer att utveckla särskilda ramverk med hjälp av standarder som ISO 27001, övervaka och granska sina leverantörer regelbundet som en del av "tydliga" servicenivåavtal, vara transparenta kring dataöverföring och investera i detekterings- och responssystem.
Andra steg
Leverantörshälsokontroller är ytterligare ett viktigt steg för att eliminera säkerhetsrisker i leveranskedjan, enligt Tigges från Huntress. De bör omfatta områden som tillräckliga åtkomstkontroller, flerfaktorsautentisering, incidentloggar och incidentsimuleringar.
Som en del av dessa insatser uppmuntrar han företag att genomföra cybersäkerhetsövningar på datorer, där de genomgår en realistisk cyberattack och bedömer hur deras team reagerar, i syfte att identifiera och täcka säkerhetsbrister. Tredjepartsleverantörer kan också inkluderas i dessa.
Tigges betonar också vikten av effektiv intressenthantering. Han säger till ISMS.online: ”Börja med att ha realistiska samtal; vad hoppas vi uppnå här, vilka risker kan vi tolerera och var kan vi stärka vårt försvar på andra sätt för att bidra till att minska den risken?”
Ross Brewer, vice vd för EMEA på logghanterings- och säkerhetsanalysföretaget Graylog, håller med om att organisationer bör ta hänsyn till risker i leveranskedjan i sina cybersäkerhetsövningar. Genom att göra det kan de "testa detekterings-, eskalerings- och responsprocedurer" inom sin organisation.
Ser framåt
Med tanke på att cyberattacker i leveranskedjan inte visar några tecken på att avta, tror Moore på ESET att organisationer inte kommer att ha något annat val än att göra säkerhetsbedömningar av leverantörer till en viktig del av sin styrning framöver. Detta innebär att behandla tredjepartsleverantörer "som en förlängning av organisationen" med "samma ansvarsskyldighet" för att säkerställa överlevnad i ett snabbt föränderligt regelverk.
Eftersom så många företag nu outsourcar olika delar av sina organisationer till tredjepartsleverantörer, säger Dilwale på Black Duck att de måste se leverantörernas säkerhetsställning med samma vikt som sin egen. Han fortsätter: ”Säkerhet i leveranskedjan kan inte läggas till som en eftertanke; den måste integreras i styrningen eftersom ansvarsskyldighet och efterlevnad är kärnkrav för att göra affärer.”
På lång sikt säger Tigges från Hunttress att företag och deras leverantörer kommer att behöva vara "transparenta och sammanhängande" i sina cybersäkerhets- och datahanteringsmetoder på grund av känsligheten hos den information som delas. Han avslutar: "Organisationens rykte och individuella data står på spel, och alla individer som hanterar dessa uppgifter är intressenter i denna process."
Även om Qantas cyberintrång inte berodde på försummelse i cybersäkerheten från det australiska flygbolagets sida, kunde händelsen ha förhindrats om flygbolaget hade haft starkare säkerhetsrutiner i leveranskedjan. För andra organisationer ger det en värdefull lärdom: att era leverantörers säkerhet är lika viktig som er egen. Detta bör förstärkas i omfattande leverantörsavtal, regelbundna hälsokontroller av leveranskedjan och cybersäkerhetsövningar som tar hänsyn till säkerhetsrisker i leveranskedjan.
