Під час своєї першої пресконференції після виборів, новий Прем’єр- міністр сер Кейр Стармер наголосив на «непохитній» відданості Сполученого Королівства НАТО і що «першим обов’язком» його уряду повинні бути безпека і оборона. В рамках цього обов’язку значна увага має приділятися захисту цифрових ланцюгів постачання Британії та інших союзників з НАТО від посилених кібератак з боку тих, хто створює загрози, намагаючись порушити нашу критичну національну інфраструктуру.
Вже за тиждень після свого обрання, Прем’єр-міністр Стармер взяв участь у своєму першому саміті НАТО, який відбувся у Вашингтоні, округ Колумбія, в липні. На саміті він наголосив на «непохитній відданості» Британії Альянсу і оголосив, що Сполучене Королівство проведе Стратегічний оборонний огляд і підвищить свої видатки на оборону до 2,5% ВВП. Також, в липні, уряд Стармера розробив план запровадження нового законопроєкту про кібербезпеку і стійкість, який широко вважається британським еквівалентом нової Директиви ЄС «Про мережу і інформаційні системи» 2 (NIS2), яка набуває чинності з 18 жовтня 2024 року.
Обрання Стармера новим британським Прем’єр-міністром і саміт НАТО відбулись в часи швидкого зростання геополітичного напруження, коли Росія і Китай зокрема, дедалі активніше просуваються, вступаючи в економічні і регіональні проксі-конфлікти із Заходом, а також більш безпосередньо націлюючись на членів НАТО за допомогою кібератак. Ці атаки вже не обмежуються кампаніями кібершпигунства. Вони дедалі більше цілеспрямовані на переривання і завдавання шкоди нашим економікам, або розробляються як невидимі операції задля проникнення і залягання на дні в нашій критичній національній інфраструктурі, або навіть в наших національних інституціях безпеки, в очікуванні запуску у разі ескалації напруженості.
Як попереджали раніше цього року в своїй спільній дорадчій записці Агентство США з кібербезпеки і безпеки інфраструктури (CISA) і Федеральне бюро розслідування (ФБР), Китайська Народна Республіка (КНР) «підтримувані державою дійові особи в кіберсфері намагаються розташуватись в мережах інформаційних технологій (ІТ) задля здійснення руйнівних кібератак на критичну інфраструктуру США у разі серйозної кризи або конфлікту зі Сполученими Штатами». Слідом за цим з’явилось попередження про загрозу від британського Національного центру кібербезпеки (NCSC), в якому також вказувалось на зростання загрози від кібератак проти критичної національної інфраструктури Сполученого Королівства від підтримуваних державою дійових осіб.
Атаки на наші цифрові мережі постачання зростають
В той час, як увага ЗМІ прикута до організованих державами кампаній з дезінформації і підриву наших демократичних інституцій, атаки на цифрові мережі постачання, які охоплють усіх зовнішніх постачальників, партнерів і провайдерів послуг для наших урядів і операторів критичної національної інфраструктури, становлять менш помітну, але дуже значну загрозу.
Агентство з кібербезпеки Європейського Союзу (ENISA) прогнозує, що до 2030 року «підрив ланцюгів постачання, залежних від програмного забезпечення», стане провідною кіберзагрозою для організацій, в той час, як Ресурсний центр з питань крадіжки ідентичності в своєму річному звіті про зламування даних за 2023 рік повідомив, що кількість організацій, які постраждали від атак на ланцюги постачання, зросла майже на 2600 відсотків лише за минулі п’ять років.
Потенційні наслідки атак на ланцюги постачання можуть бути величезними і можуть загрожувати цілим секторам економіки, створювати наступну фінансову кризу, або навіть підірвати національну безпеку, про що свідчать такі приклади.
Нещодавно було виявлено, що хакери, яких підозрюють у зв’язках з китайськими державними органами, зламали мережу провайдера заробітної плати для Міністерства оборони Сполученого Королівства і розкрили імена, банківську інформацію і адреси потенційно 270 тисяч нинішніх і колишніх службовців зі складу Збройних сил Британії. Тим часом, в червні, голландський Національний центр кібербезпеки оголосив, що хакери, зв’язані з Китаєм, «отримали доступ до як мінімум 20 тисяч систем FortiGate в усьому світі протягом кількох місяців в 2022 і 2023 роках», і що мішенями «стали десятки (Західних) урядів, міжнародних організацій і велика кількість компаній оборонного сектора промисловості». І нещодавно британський NCSC і його союзники з Five Eyes випустили ще одне попередження про загрозу щодо мережі ботів з понад 260 тисяч зламаних пристроїв в усьому світі, яка, як вважається, управляється компанією в Китаї, зв’язаною з урядом, яку використовував китайський зловмисник Flax Typhoon задля втручання в критичну інфраструктуру, «передусім в секторах комунікацій, енергетики, транспортних систем і систем водопостачання і водовідведення».
І це лише декілька з останніх прикладів. Кампанія, організована SolarWinds 2020 року, вважається багатьма провідними експертами найбільшою кібератакою до цього дня. SolarWinds є постачальником програмного забезпечення з менеджменту і моніторингу ІТ «Оріон», якою користуються тисячі урядових і приватних клієнтів в усьому світі. Сам характер такого інструменту потребує його глибокої інтеграції в системи і операційні процеси організацій, які його використовують, і отримання таким чином доступу до надзвичайно чуттєвої інформації, включно з системним журналом і робочими даними. Хакери, які вважаються зв’язаними з російською розвідслужбою СВР, зуміли ввести зловмисний код в оновлення програмного забезпечення «Оріон». Коли клієнти оновлювали свої програми, вони ненавмисно завантажували цей зловмисний код в своє середовище ІТ, створюючи «чорний вхід», через який зловмисники напряму отримували доступ до систем і даних клієнтів, що відомо як «пряма атака».
Шкода, завдана цією атакою на ланцюг постачання, була неймовірною. Вважається, що майже 18 тисяч клієнтів SolarWind завантажили заражене оновлення програми, що вплинуло на багатьох, включно з федеральними відомствами США, такими як Департамент внутрішньої безпеки, Держдепартамент і Скарбниця, а також технічних гігантів, таких як Майкрософт, Інтел і CISCO.
Чому посилюються атаки на ланцюги постачання
Існують дві головні причини посилення атак на ланцюги постачання. Перша – це більше використання аутсорсингу для виконання часто критичних функцій третіми сторонами в процесі поточної роботи над цифровізацією. Друга причина полягає в тому, що засоби кібербезпеки окремих організацій, особливо тих, які діють в критичній національній інфраструктурі і загалом в дуже регульованих секторах, а також в організаціях, що належать до національної безпеки, досить потужні. Це означає, що прямий напад на ці організації став набагато складнішим, що змушує нападників шукати легші точки проникнення для отримання доступу до даних і систем своїх цілей.
Такі слабкі ланки часто можна знайти в широких мережах постачальників і бізнес-партнерів організацій, чиє програмне забезпечення, або апаратні комплекси глибоко інтегровані у власні внутрішні системи і процеси, або тими, які працюють ззовні, від їхнього імені, з чуттєвими даними, в тому числі з даними про працівників. Це широкий спектр, від зовнішніх зарплатних відомостей, юридичних і пенсійних послуг до інструментів продуктивності і співробітництва, хмарних провайдерів або рішень в сфері кібербезпеки, і це лише деякі з них. Вони разом і становлять наші цифрові ланцюги постачання. Ці відносини аутсорсингу створили складний набір залежностей і запровадили слабкі місця, які дедалі частіше експлуатують нападники.
Проте ланцюг постачання не зупиняється на так званій третій стороні, або прямих постачальниках. Вони, своєю чергою, для надання своїх послуг залежать від мережі, що часто складається із сотень інших організацій, і цей перелік можна продовжувати. Коли, наприклад, російський зловмисник ClOP скористався слабкими місцями MOVEit Transfer в 2023 році, багато тисяч відомих жертв навіть не користувались MOVEit Transfer самі. На них було здійснено вплив (тобто, були викрадені їхні дані, або дані їхніх клієнтів) через постачальників, таких як програмне забезпечення «Рішення для HR і виплати заробітної плати» Zellis або дослідницькі сервіси PBI, ресурс дослідницької інформації, який широко використовується у фінансовій індустрії, які використовували MOVEit Transfer для обробки даних своїх клієнтів.
Нам потрібен новий підхід
Зважаючи на дедалі зростаючі ризики, що можуть зробити союзники і Альянс загалом для посилення захисту від широкомасштабних атак на ланцюги постачання?
Одна з головних проблем, зв’язаних з ризиком для ланцюгів постачання, – це зосередженість на забезпеченні кібербезпеки окремих організацій. Однак для досягнення значущої кібербезпеки ланцюгів постачання нам потрібен новий підхід на основі посиленого співробітництва. Британський уряд, наприклад, вже здійснив перші кроки на основі підходу «Оборонятись як один», окресленого в нещодавній урядовій стратегії кібербезпеки. Цей підхід передбачає опанування «цінністю обміну даними кібербезпеки, знаннями і досвідом та можливостями організацій (британського державного сектора), щоби мати оборонну силу небагато потужнішу, ніж сума її складових».
Це крок у правильному напрямку, який опосередковано визнає найбільшу перешкоду на шляху до посилення кібербезпеки, а саме – відокремлений підхід, коли «кожен сам за себе». Але нам потрібно йти далі. Організації, зв'язані між собою, подобається це їм, чи ні, і відповідальність за запобігання кібератакам повинна розділяти вся екосистема. Ніхто не може зробити цього самостійно. Важлива роль також належить регуляторам. Ми повинні перейти від культури запевнень, погроз і штрафів до такої, де організації, які підтримують нашу критичну національну інфраструктуру, агентства національної безпеки, партнери з приватного сектора і усі критичні постачальники об’єднуються і спільно обороняють наш ланцюг постачання від атак і зміцнюють загальну стійкість усієї екосистеми.
Це може мати форму віртуальних національних центрів безпекових операцій (SOC) для ланцюга постачання, які нагадуватимуть Британський центр урядової кібербезпеки (Cyber GSeC), Урядовий центр кіберкоординації (GCCC) або британські комплексні центри безпекових операцій під проводом NCSC (SOC). У цих SOC для ланцюга постачання організації, які мають великі служби безпеки і значний досвід і знання щодо пошуку, виявлення і реагування на атаки, наприклад, могли би згуртуватись навколо своїх менших партнерів і постачальників задля захисту усієї системи, підтримуючи їх своїми передовими знаннями і ресурсами.
В контексті ширшої співпраці в НАТО ці національні SOC можуть працювати разом з новим Інтегрованим центром кібероборони НАТО (NICC) і його віртуальними силами підтримки у разі кіберінцидентів (VCISC), які є важливим доповненням до загальних сил і засобів кібероборони НАТО, і які забезпечать більш вчасний і рівний доступ для усіх членів Альянсу до оновлених розвідданих про загрози, і, що важливо, до оперативної і технічної підтримки під час інцидентів.
NICC лише нещодавно був узгоджений на саміті НАТО 2024 року у Вашингтоні, і буде розміщений в стратегічній штаб-квартирі НАТО в SHAPE, в Бельгії. Він відповідатиме за «захист мереж НАТО і союзників і використання кіберпростору як оперативної сфери», а також «інформування військового командування НАТО про можливі загрози і вразливі місця в кіберпросторі, включно з приватною цивільною критичною інфраструктурою, необхідною для підтримки військової діяльності». Новий центр буде зосереджений на наданні відповідної розвідувальної інформації задля покращення прийняття військових рішень, а також для «поліпшення нашого ознайомлення із ситуацією в кіберпросторі і зміцнення колективної стійкості і оборони».
З іншого боку, VCISC, рішення про створення якого було прийняте на саміті НАТО у Вільнюсі в 2023 році, буде зосереджений на удосконаленні сил і засобів реагування членів НАТО на інциденти, завдяки підтримці «національних зусиль з пом’якшення у відповідь на зловмисну кібердіяльність». Ці нові засоби дозволять членам Альянсу запросити підтримку і отримати кібердопомогу у разі кризи без залучення статті 5. А також отримати швидкий доступ до технічних експертних знань, допомоги і інформації підчас інцидентів.
Ці нові можливості НАТО можуть значно посилити експертні знання і ресурси запропонованих для ланцюга постачання національних SOC, водночас закладаючи основу для потенційних майбутніх інтегрованих SOC для ланцюга постачання НАТО.
Подібно до того, як НАТО досягла підходу «один за всіх і всі за одного» задля спільної оборони Альянсу, так само Альянс і національні безпекові інституції, регулятори, організації і їхні постачальники повинні об’єднатися заради протистояння негайній і неминучій загрозі від поширення, хоча поки що завуальованого, збільшення атак на наші цифрові ланцюги постачання.