Que son os ataques á cadea de subministración?
Xa sexa a nosa actividade principal a prestación de servizos ou sexa industrial, os ciberataques dos nosos Provedores son cada vez máis habituais. Desde 2021 incrementáronse nun 300% este tipo de ciberataques e, de feito, prevese que en 2025 o 45% dos ataques que sofren as empresas se deban a ciberataques aos seus provedores.
Como se realizan este tipo de ataques?
Como vos estivemos explicando, os ciberdelincuentes utilizan diferentes métodos para atacar empresas de todos os sectores, tamaños e actividades. Unha vez que obteñen información, especialmente relacionada cos clientes desa empresa, tentan ampliar o seu alcance e atacar tamén a eses clientes. Sobre todo se se trata doutras empresas ou entidades que poidan ser do teu interese.
Dependendo do servizo ou produto que nos proporcione o noso provedor, os ciberataques derivados da cadea de subministración poden afectarnos do seguinte xeito:
- Se utilizamos tecnoloxías ou servizos compartidos co noso provedor: O ataque neste caso sería case inmediato por medios informáticos e veriamos afectados ao mesmo tempo que o noso Provedor, polo simple feito de que os sistemas están interconectados. Exemplo: un ciberataque sufrido por Microsoft que afecta ao noso correo electrónico corporativo ou tamén un ciberataque a un colaborador externo, que accede ás nosas plataformas para prestar os seus servizos ou prestarnos soporte técnico de mantemento remoto no caso de que sexamos unha empresa industrial.
- Se o noso Provedor é atacado operativamente: Isto pode provocar cortes nos subministros básicos esenciais para a nosa actividade (luz, auga, gas, electricidade e telecomunicacións).
- Mediante comunicacións fraudulentas suplantando o provedor de confianza: Estas comunicacións, como xa explicamos noutras ocasións, pódense recibir por correo electrónico, chamada telefónica ou mensaxes curtas (por exemplo, SMS, WhatsApp, EQUIPOS, Skype, redes sociais ou calquera outra plataforma de chat).
Como podemos detectalos e abordalos na nosa empresa ou entidade?
Aplicando unha cultura de confianza cero (Confianza cero):
- A nivel de empresa ou entidade (pública ou privada), escoller adecuadamente os nosos provedores, provedores e provedores de servizos, produtos e tecnoloxías. É importante que teñan o mesmo nivel de compromiso coa seguridade que o requirido internamente na nosa Organización.
- A nivel de subministros básicos, hai que valorar se é necesario contar con máis dun Provedor ou sistemas alternativos ou de respaldo (por exemplo, un SAI – xerador de electricidade), especialmente naquelas actividades que non se poidan paralizar por un corte de subministros. Exemplo: Entidades que teñen a consideración de infraestruturas críticas e prestan servizos á cidadanía (hospitais, aeroportos, depuradoras, etc.) e aquelas empresas cuxa actividade, xa sexa industrial ou de servizos, non poida interromperse, dado que isto provocaría graves perdas económicas e de produtos, ou se vería afectada un gran número de persoas.
- A nivel técnico, supón a utilización de factores de dobre conexión dos Usuarios aos sistemas, a configuración de privilexios mínimos de xestión para limitar os danos que se poidan ocasionar e a vixilancia dos sistemas informáticos para detectar a tempo calquera anomalía. Estas anomalías ás veces poden ser detectadas polos Usuarios directos destes sistemas. Como ocorre cando non podemos utilizar a tecnoloxía (correo, aplicación, páxina web, etc.) ou en empresas con actividade industrial respecto de anomalías nas cadeas produtivas.
- A nivel de Usuario, desconfíe de calquera comunicación de carácter urxente, esixente ou inusual e, especialmente, daquelas comunicacións que pretendan modificar os métodos de pago das facturas. Sempre que un Provedor nos solicite que cambiemos o número de conta para realizar futuros pagamentos, debemos ignorar esa comunicación, poñernos en contacto co remitente por outros medios (correo, teléfono ou contacto oficial) e esixir o xustificante da propiedade bancaria.
NOTA IMPORTANTE: Se, a pesar de cumprir con todas estas medidas, te atopas con situacións que non cumpren o nivel de seguridade esixido ou establecido nas políticas internas, non dubides en comunicarllo ao teu responsable directo, ao Responsable de Seguridade do CISO e ao departamento informático, para que che asesoren adecuadamente. E aínda que estas recomendacións van dirixidas a nivel de empresa ou entidade, debemos ser conscientes de que a nivel persoal ou doméstico tamén podemos ser vítimas dun ciberataque aos nosos provedores e, en tal caso, debemos denunciar o suceso ás autoridades policiais.