תקיפת שרשרת האספקה
תקיפת שרשרת אספקה היא תקיפה, שמטרתה פגיעה בארגון על ידי תקיפת רכיבים חשופים בשרשרת האספקה. תקיפה כזו יכולה להתרחש בכמעט כל התחומים, בהם המגזר העסקי, תעשיית הנפט והמגזר הציבורי. אחת הגישות המועדפות לביצוע תקיפה כזו היא באמצעות התקפת סייבר. שיטת התקיפה יכולה להיות באמצעות שינוי קוד תוכנה (על ידי שילוב נוזקה ברכיבים, כרטיסים, מכלולים או מערכות), באמצעות שינויים זדוניים בקושחה או באמצעות הטמנה של מרכיבי חומרה ש"טופלו" על ידי התוקף. דוגמה להתקפה כזו יכולה להיות על ידי התקנת rootkit או רוגלה בתהליכי הייצור.
אירועים של תקיפת שרשרת האספקה נפוצים מאד. דו"ח של סימנטק משנת 2019 הצביע על גידול של 78 אחוזים במקרים של תקיפת שרשרת האספקה בשנה זו לעומת השנה הקודמת.[1]
לפי מאמר של האתר Threatpost מאפריל 2019 - 50% מסה"כ תקיפות הסייבר הן תקיפות נגד שרשרת האספקה[2]
יתרונה הגדול של השיטה הוא בכך שהיא מאפשרת לחדור למערכות, גם אם הן, על פי התכנון המקורי, לא מחוברות לרשת האינטרנט הפתוחה.
רקע
שרשרת אספקה היא מערכת של פעילויות ותהליכים שבהם מתנהלים ייצור, עיבוד והפצה של סחורה. בתהליכים אלו משאבים עוברים מספק לספק עד שהם מגיעים לצרכן הסופי. בשרשרת אספקה כל המשתתפים קשורים זה בזה, ומדי פעם חלים בה שינויים בהתאם להיצע וביקוש.
תקיפת שרשרת האספקה לא חייבת להיות תקיפת סייבר. למשל, בשנת 2010 פרצו גנבים למחסן של חברת התרופות "אלי לילי" בארצות הברית וגנבו סחורה בשווי 80 מיליון דולר, דבר שפגע קשות בשרשרת האספקה של החברה.[4]
בתחום הסייבר, תקיפת שרשרת האספקה מתארת שינוי שנעשה בחלק מהרכיבים האלקטרוניים בשרשרת האספקה, כמו רכיבים, כרטיסים אלקטרוניים, מכלולים, מערכות או שרתים, מערכות חשמל, רשתות ארגוניות וכדומה. ברכיבים אלה מותקנת ברכיב תוכנה זדונית, מתבצעת מניפולציה בקושחה ו/או מוטמן רכיב חומרה שלא ניתן להבחין בהם, במטרה לגרום נזק באחד או יותר משלבי ההמשך של שרשרת האספקה.
תקיפת סייבר של שרשרת האספקה
תקיפת סייבר של שרשרת האספקה מורכבת משני שלבים עיקריים. השלב הראשון הוא איתור רכיב פגיע בשרשרת. דבר זה יכול להיעשות בעזרת "רוגלה" שאוספת נתונים לאורך זמן, מהמערכות האדמיניסטרטיביות של הארגונים המשתתפים בשרשרת האספקה. לעיתים, נעשה שימוש בתקיפה ייעודית קשה לזיהוי שנבנתה במיוחד לצורך זה בשם Advanced persistent threat (APT) (אנ') המוחדרת למערכות המחשוב של הארגון ונשארת פעילה במשך זמן רב. תוכנה זו ממפה את התהליכים בשרשרת האספקה ומזהה את הרכיבים בעלי אבטחת הסייבר החלשה ביותר. תחקיר של חברת ורייזון תקשורת גילה כי קל יותר להחדיר APT למערכות ארגוניות של חברות קטנות מאשר לחברות גדולות.
בשלב השני תוכנת ה-APT תוקפת אחד או יותר מהרכיבים, ובכך פוגעת בשרשרת האספקה. למשל, באוקטובר 2008 זיהו גופי אבטחת מידע אירופאים קוד זדוני בקוראי כרטיס אשראי מתוצרת סין, שאגר פרטים של כרטיסי אשראי והעביר אותם לתוקפים. בשיטה זו בוצעו רכישות בכרטיסי האשראי שפרטיהם נגנבו בסך של כ-100 מיליון דולר.
דוגמאות
תוכנת סטקסנט נחשבת לאחד המקרים הראשונים של תקיפת שרשרת האספקה. תוכנה זו פגעה בשנת 2011 בתוכנית הגרעין האיראנית באמצעות פגיעה במערכות בקרה תעשייתיות מסוג SCADA של חברת "סימנס" ששלטו בצנטריפוגות במתקן ההעשרה בנתנז. בתקיפה זו זוהתה התקנת Rootkit ב-PLC שפגעה במערכות הבקרה של מתקני הגרעין.
בשנת 2013 חוותה חברת "טרגט" בארצות הברית תקיפת בשרשרת האספקה. קוד זדוני שהוחדר לתוכנה בקופות החברה העביר לתוקפים פרטי תשלום של 40 מיליון לקוחות ב-1,800 סניפים. החברה שילמה פיצויים ללקוחות בגובה 61 מיליון דולר.[5]
מקרים של גניבה מקוונת של אמצעי תשלום נחשבים אף הם לתקיפה בשרשרת האספקה.
אחת הדוגמאות הבולטות לתקיפת שרשרת אספקה מהעת האחרונה (2019), היא סדרה של התקפות על שרשרת האספקה של חברת המטוסים "איירבוס" שבמסגרתה נתקפו קבלני משנה ראשיים כמו חברת "רולס רויס", יצרנית המנועים וחברות גדולות נוספות שהן ספקיות של "איירבוס"[6].
מאמר של "הפורום הכלכלי העולמי" המנתח את השפעות המגמות העולמיות, "המהפכה התעשייתית, הדור הרביעי", על שרשראות האספקה[7]. המאמר מתייחס לנושאים רבים ובכללם, פגיעות להתקפות סייבר. במאמר אפשר למצוא פרוט של תקיפות הסייבר, היותר גדולות, על שרשרת האספקה, בשנים 2004 - 20017 (עמוד 15).
ב 18 לספטמבר 2019, חברת "סימנטק" פרסמה מאמר בנוגע למערכה המתנהלת נגד סעודיה ועניינה תקיפה של ספקיות ציוד IT - מתוך כוונה שתקיפה זו, תאפשר יכולת לתקוף את הלקוחות העתידיים של הציוד[8].
דרכי התמודדות לצמצום הסיכון מתקיפת שרשרת אספקה
בכדי לצמצם את הסיכון מתקיפת שרשרת האספקה של הארגון אפשר לנקוט בכמה וכמה גישות:
- לחייב את הספקים, במסגרת החוזה איתם,לעמוד בתקינה רלוונטית, לאפשר ביצוע ביקורות מטעם הקניין וכדומה - מצב אפשרי רק אם יש לקניין יכולת לתחר בין כמה ספקים.
- לחתום על הסכמים צולבים עם הרשות המוסמכת לנושא במדינה של הספק - כך שהיא תהיה זו שבודקת את הנושא, מותנה ברמת האמון בין הארגונים ובהסכמים ההדדיים וביכולת לממן את הבדיקות.
- לבדוק כל חומר גלם, רכיב, כרטיס, מכלול, מערכת או שירותים - במטרה לוודא "פיזית" שלא שולבה "נוזקה", קושחה או חומרה זדונית - גישה המחייבת השקעות לא מבוטלות מצד הקניין.
- למתקן את כל הנ"ל, בכל פעם שיש חשש מיכולת גישה פיזית לציוד, עם אמצעים שמונעים "התערבות בציוד" (Anti Tampering) או, לכל הפחות, אמצעים שיאפשרו לדעת ש"מישהו" התעסק עם הציוד.גישה רלוונטית במיוחד לשלבי השינוע, והשילוח של הציוד וכדומה.
בישראל, מערך הסייבר הלאומי גיבש "סוג של שאלון" שמאפשר לקניינים להיערך לצמצום הסיכון להתקפות שרשרת אספקה[9]
הערות שוליים
- ^ Symantec’s 2019 Internet Security Threat Report, באתר חברת סימנטק (באנגלית).
- ^ מאמר באתר Threatpost מאפריל 2019
- ^ cf. Wieland, Andreas; Wallenburg, Carl Marcus (2011). Supply-Chain-Management in stürmischen Zeiten (בגרמנית). Berlin: Universitätsverlag der TU. ISBN 978-3-7983-2304-9.
- ^ Drug theft goes big, בעיתון Fortune, 31 במרץ 2011 (באנגלית).
- ^ אבטחת כרטיסי אשראי - מי תהיה הטרגט הבאה?!.
- ^ פרסום באתר "infosecurity-magazine" מ-30 בספטמבר 2019
- ^ פרסום באתר הפורום הכלכלי העולמי
- ^ פרסום באתר סימנטק לגבי תקיפת שרשרת אספקה, בסעודיה, בספטמבר 2019
- ^ פרסום באתר של מערך הסייבר הלאומי
26791401תקיפת שרשרת האספקה