Är ESG-data nästa mål för ransomware-aktörer?
Innehållsförteckning:
Som en berömd groda en gång sa, det är inte lätt att vara grön. I slutet av januari, rapporter uppstod av en ransomware-attack mot Sustainability Business divisionen av Schneider Electric, vilket väcker frågan: hur värdefullt ett mål är företagens hållbarhetsdata? När organisationer på allvar börjar med miljö-, sociala och styrningsstrategier (ESG) kan de behöva göra mer för att hålla denna information låst.
Vad hände på Schneider Electric?
Cactus ransomware-gruppen hävdade att de hade 1.5 TB av företagets data och hotade att släppa den offentligt om det franska multinationella företaget inte betalade. En månad senare, det publicerad 25MB av data för att driva hem hotet. Det är fortfarande inte känt om Schneider Electric har betalat en lösensumma för uppgifterna, och inte heller om Cactus krypterade informationen samtidigt som den stal den, vilket är dess allmänna tillvägagångssätt.
Schneider Electric har drabbats av en ransomware-attack tidigare; Clop-gänget fick tillgång till en del av sina data i maj 2023 som en del av attacken mot Progress Softwares filöverföringstjänst MOVEit, som dammsugde upp tusentals företags information.
Den här gången fokuserade attacken på en specifik division. Division Sustainability Business är en verksamhet inom Schneider Electric som fokuserar på en relativt ny marknad: insamling och rapportering av hållbarhetsdata.
Ett växande behov av ESG-data
Hållbarhetsdata representerar "E" i ESG, en växande rörelse för att göra företag mer ansvariga för sin effekt på planeten och samhället. Hållbarhetssidan handlar om mätetal inklusive förbrukning (av resurser som energi och vatten), tillsammans med utsläpp (vanligtvis av växthusgaser).
Denna information är användbar för investerare som i allt högre grad poängsätter företag på sin ESG-prestation. Investeringsförvaltningsbolag Capital Group hittades att nio av 10 investerare globalt överväger ESG i sina strategier, med 57 % som tror att det kan avslöja attraktiva investeringsmöjligheter. Men 54 % av dem säger att dessa uppgifter är svårare att få. Ju mer av det investerare har, desto mer bekväma känner de att de lägger pengar i dessa företag
.Andra påtryckningar får företag att fokusera på hållbarhetsrapportering. I EU är Direktivet om företags hållbarhetsredovisning (CSRD) kommer att genomdriva European Sustainability Reporting Standards (ESRS), att tillämpa mer detaljerad hållbarhetsrapportering på EU-företag eller de som är verksamma i blocket.
För att förstå värdet av hållbarhetsdata som stöder dessa initiativ, följ pengarna. De fyra stora driver aktivt datadrivna hållbarhetsaffärer. Deloitte investerat 1 miljard dollar i sin hållbarhets- och klimatpraxis i april 2022, och erbjuder en hållbarhetsanalystjänst praxis som hjälper kunder att övervaka resursanvändning både internt och över sina leveranskedjor. EY, KPMG och PwC erbjuder alla tjänster för att skapa en hållbarhetsstrategi och sedan integrera verksamhetsdata för att stödja den.
En expanderande attackyta
Att samla in och rapportera dessa data skapar flera risker för företag:
Datadjup och bredd
Företag skördar ett brett spektrum av driftsdata från sina egna anläggningar, allt från energiförbrukningen för enskilda maskiner till avfallsproduktion, bränslemängder och flottans antal.
Vissa, som PwC, förespråkare datasjöar som kommer att innehålla en blandning av drifts-, biologisk mångfalds- och säkerhetsdata. Dessa kommer att giftas med andra datasjöar som innehåller kund- och marknadsinformation, tillsammans med data från affärssystem, IoT-sensorer och till och med HR-data. Den förutser att all denna information flödar genom hållbarhetsrapporteringsverktyg.
Dataomfång
Det andra hotet är omfattningen av de insamlade uppgifterna, som sträcker sig bortom en organisations egen verksamhet till deras leverantörers data. PwC:s modell för hållbarhetsdata inkluderar tredjepartsinformation från andra i företagets leverantörskedja.
Attacken på Schneider Electric äventyrade deras EcoStruxure Resource Advisor-plattform. Det är ett molnbaserat system som samlar in och analyserar data om anläggningsdrift och leveranskedjor. Detta gör det möjligt för kunder att övervaka och prognostisera energiförbrukning och generera utsläppsrapporter. Dess reklammaterial säger stolt att det inte bara hämtar sina kunders egna dataflöden, utan även data från tredjepartsleverantörer.
Datacentralisering
Företag som Schneider Electric jagar vinster från hållbarhetsdatatjänster genom att ta insamlingen och analysen av dessa data ur kundernas händer. Detta gör dessa leverantörer av hållbarhetsdatatjänster till ett attraktivt mål för cyberbrottslingar som vill skörda stora volymer av denna värdefulla kundinformation. Schneider Electrics hållbarhetsenhet fanns med flera värdefulla företag bland sina kunder, inklusive Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo och Walmart.
Hur man förblir säker i jakten på hållbarhet
Det är inte klart om attacken mot Schneider Electric var riktad eller bara en lycklig olycka för opportunistiska tjuvar, men hur som helst är denna känsliga information helt klart ett värdefullt mål. Så vad kan företag göra för att skydda sig?
Att bedöma leverantörer för effektiva säkerhetsrutiner är nyckeln, inklusive att utvärdera deras certifieringar för cybersäkerhetskontroller. Dessa certifieringar garanterar dock inte 100 % säkerhet. Andra åtgärder kan minska sannolikheten för datastöld.
Det är viktigt att upprätthålla en stark datainventering – att hålla reda på all data som delas och tydligt dokumentera vilka typer av känslig information en tredjepartstjänsteleverantör kan komma åt. Att upprätta protokoll för att hantera åtkomstrisker, både av tredje parts tjänsteleverantörer och internt, är också god säkerhetspraxis.
Oavsett om du har att göra med en tredjepartstjänsteleverantör eller samlar och behåller all data internt, är skydd mot ransomware avgörande. Detta innebär att man sätter kontroller på plats, såsom grundläggande slutpunktsdetektering och förebyggande till managed detection and response (MDR). Grundläggande cyberhygien, inklusive snabba säkerhetsuppdateringar och slutanvändarutbildning, är också användbara försvarslinjer.
ESG-data blir en allt mer tilltalande tillgång för online-skurkar, oavsett om de fångar det urskillningslöst i sina nät eller söker upp det med avsikt. Effektiva cybersäkerhetsåtgärder som är väldokumenterade kommer att räcka långt för att skydda denna nya juvel i kronan.
