Què són els atacs a la cadena de subministrament?
Tant si la nostra activitat principal és de prestació de serveis, com si és industrial, cada cop són més habituals els ciberatacs derivats dels nostres Proveïdors. Des del 2021 hi ha hagut un augment del 300% en aquest tipus de ciberatacs i, de fet, es preveu que el 2025, el 45% dels atacs que pateixin les empreses, siguin per ciberatacs als seus proveïdors.
Com es fan aquests tipus d’atacs?
Com us hem explicat, els ciberdelinqüents utilitzen diferents mètodes per atacar empreses de tots els sectors, mides i activitats. Quan aconsegueixen informació, especialment relacionat amb clients d’aquesta empresa, intenten ampliar el seu abast i atacar també aquests clients. Especialment si es tracta d’altres empreses o entitats que puguin ser del vostre interès.
En funció del servei o producte que ens estigui prestant el nostre Proveïdor, els ciberatacs derivats de la cadena de subministrament ens poden afectar de la manera següent:
- Si utilitzem tecnologies o serveis compartits amb el nostre Proveïdor: L’atac en aquest cas seria gairebé immediat per mitjans informàtics i ens veuríem afectats alhora que el nostre Proveïdor, pel simple fet d’estar interconnectats els sistemes. Exemple: Un ciberatac sofert per Microsoft que afecti el nostre correu electrònic corporatiu o també un ciberatac a un col·laborador extern, que accedeixi a les nostres plataformes per prestar els seus serveis o donar-nos suport de manteniment tècnic en remot en cas que siguem empresa industrial.
- Si ataquen operativament el nostre Proveïdor: Això pot provocar talls de subministraments bàsics essencials per a la nostra activitat (llum, aigua, gas, electricitat i telecomunicacions).
- Per mitjà de comunicacions fraudulentes suplantant la identitat del proveïdor de confiança: Aquestes comunicacions, com hem explicat altres vegades, poden rebre’s per correu electrònic, trucada telefònica o missatges curts (exemple, SMS, Whatsapp, TEAMS, Skype, Xarxes socials o qualsevol altre xat de plataformes).
Com podem detectar-los i afrontar-los a la nostra empresa o entitat?
Aplicant una cultura de confiança zero (Zero Trust):
- A nivell empresa o entitat (pública o privada), triar adequadament els nostres proveïdors, subministradors i prestadors de serveis, productes i tecnologies. És important que tinguin un mateix nivell de compromís amb la seguretat, que l’exigit a nivell intern a la nostra Organització.
- A nivell de subministraments bàsics, hem de valorar si cal comptar amb més d’un proveïdor o amb sistemes alternatius o de suport (per exemple, un SAI – generador d’electricitat), especialment en aquelles activitats que no es puguin veure paralitzades per un tall en els subministraments. Exemple: Entitats que són considerades infraestructures crítiques i presten servei a la ciutadania (hospitals, aeroports, plantes potabilitzadores d’aigua, etc.) i qualssevol empreses l’activitat de les quals, ja sigui industrial, ja sigui de serveis, no es pugui veure interrompuda, atès que això causaria greus pèrdues econòmiques i de producte, o es veurien afectades un gran nombre de persones.
- A nivell tècnic, implica utilitzar dobles factors de connexió dels usuaris als sistemes, configurar mínims privilegis de gestió per limitar el dany que es pugui ocasionar i monitoritzar els sistemes informàtics per detectar qualsevol anomalia a temps. Aquestes anomalies les podem detectar, de vegades, els usuaris directes d’aquests sistemes. Com passa quan no podem fer ús d’una tecnologia (correu, aplicació, web, etc.) o en empreses d’activitat industrial pel que fa a anomalies a les cadenes de producció.
- A nivell Usuari, desconfiar de primeres de qualsevol comunicació que sigui de caràcter urgent, exigent o inusual i, especialment, daquelles comunicacions que pretenguin canviar modalitats de pagament de factures. Sempre que un Proveïdor ens sol·liciti un canvi de número de compte per a la realització de propers pagaments, hem d’ometre aquesta comunicació, contactar amb el remitent per altres mitjans (correu, telèfon o contacte oficial) i requerir un justificant de titularitat bancària.
NOTA IMPORTANT: Si encara complint totes aquestes mesures, us trobeu amb situacions que no s’ajusten al nivell de seguretat requerit o establert en polítiques internes, no dubteu a comunicar-ho al vostre responsable directe, al Responsable de Seguretat CISO i al departament d’IT, perquè us puguin aconsellar adequadament. I encara que aquestes recomanacions es dirigeixin a nivell d’empresa o entitat, hem de ser conscients que també a nivell particular o domèstic podríem arribar a ser víctimes d’un ciberatac als nostres subministradors, i per això hem de denunciar l’incident davant l’ autoritat policial.