Zabezpieczanie cyfrowych łańcuchów dostaw Wielkiej Brytanii i NATO

Zaledwie tydzień po wyborze premier Starmer wziął udział w swoim pierwszym szczycie NATO, który odbył się w lipcu w Waszyngtonie. Na szczycie podkreślił „niezachwiane zobowiązanie" Wielkiej Brytanii wobec Sojusz i ogłosił, że Wielka Brytania przeprowadzi Strategiczny Przegląd Obronny i zwiększy wydatki na obronę do 2,5% PKB. Również w lipcu rząd Starmera przedstawił swój plan wprowadzenia nowej ustawy o cyberbezpieczeństwie i odporności, która jest powszechnie uważana za brytyjski odpowiednik nowej unijnej Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS2), która będzie obowiązywać od 18 października 2024 roku.

Zarówno wybór Starmera na nowego premiera Wielkiej Brytanii, jak i szczyt NATO miały miejsce w czasie gwałtownie rosnących napięć geopolitycznych. Zwłaszcza Rosja i Chiny coraz bardziej wykraczają poza angażowanie się w gospodarcze i regionalne konflikty zastępcze z Zachodem – coraz mocniej atakują członków NATO za pomocą cyberataków. Ataki te nie ograniczają się już do szpiegostwa cybernetycznego. Coraz częściej mają na celu bardziej bezpośrednie zakłócenie funkcjonowania naszych systemów gospodarczych i wyrządzanie im szkody lub są zaprojektowane jako w zamyśle niewykrywalne operacje (stealth operations) mające na celu infiltrację naszej krytycznej infrastruktury krajowej, a nawet instytucji bezpieczeństwa narodowego, a następnie pozostawienie w ich obrębie „śpiochów” czekających na ich uruchomienie w przypadku eskalacji napięcia.

Amerykańska Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) oraz Federalne Biuro Śledcze (FBI) ostrzegły na początku tego roku we wspólnym raporcie, że „sponsorowane przez Chiny podmioty z branży cybernetycznej dążą do tego, by z wyprzedzeniem zafunkcjonować w sieciach informatycznych, aby przeprowadzać destrukcyjne cyberataki na infrastrukturę krytyczną USA w przypadku poważnego kryzysu lub konfliktu ze Stanami Zjednoczonymi". Następnie brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) wydało alert, w którym również podkreślono eskalację zagrożenia wynikającego z cyberataków na krytyczną infrastrukturę narodową Wielkiej Brytanii, przeprowadzanych przez podmioty sponsorowane przez państwo.

Podczas gdy uwaga mediów koncentruje się na sponsorowanych przez państwa kampaniach dezinformacyjnych i atakach na nasze instytucje demokratyczne, ataki na cyfrowe łańcuchy dostaw - obejmujące wszystkich zewnętrznych dostawców, partnerów i usługodawców dla naszych rządów i operatorów krytycznej infrastruktury krajowej - stanowią mniej widoczne, ale bardzo istotne zagrożenie. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA)](https://www.enisa.europa.eu/topics/foresight) przewiduje, że do 2030 roku
„zakłócanie łańcuchów dostaw z wykorzystaniem ich zależności od oprogramowania” stanie się głównym zagrożeniem cybernetycznym dla organizacji, podczas gdy amerykańska organizacja non-profit Identity Theft Resource Center poinformowała w swoim rocznym raporcie dotyczącym naruszeń danych z 2023 roku, że liczba organizacji dotkniętych atakami w łańcuchu dostaw wzrosła o ponad 2600 punktów procentowych tylko w ciągu ostatnich pięciu lat.

Potencjalne skutki ataków w łańcuch dostaw mogą być ogromne i dewastujące dla całych sektorów gospodarki. Mogą wywołać kolejny kryzys finansowy, a nawet podważyć bezpieczeństwo narodowe, jak pokazują poniższe przykłady.

Niedawno okazało się, że hakerzy, podejrzewani o powiązania z chińskimi władzami państwowymi, włamali się do jednostki prowadzącej księgowość płac dla brytyjskiego Ministerstwa Obrony, ujawniając nazwiska, dane bankowe i adresy być może aż 270 000 obecnych i byłych członków brytyjskich sił obronnych. Tymczasem, w czerwcu holenderskie Narodowe Centrum Cyberbezpieczeństwa ogłosiło, że powiązani z Chinami hakerzy „uzyskali dostęp do co najmniej 20 000 systemów FortiGate na całym świecie w ciągu kilku miesięcy w latach 2022 i 2023" oraz że cele „obejmują dziesiątki (zachodnich) rządów, organizacji międzynarodowych i dużą liczbę firm z branży obronnej". Niedawno brytyjskie NCSC i jego sojusznicy z grupy „Five Eyes” wydali kolejny [alert o zagrożeniu] (https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a?utm_source=EA&utm_medium=press_release&utm_campaign=VT_020724) dotyczący botnetu składającego się z ponad 260 000 zainfekowanych urządzeń na całym świecie, który prawdopodobnie jest zarządzany przez firmę w Chinach powiązaną z rządem, która była wykorzystywana przez chińską grupę przestępczą Flax Typhoon do zakłócania infrastruktury krytycznej, „głównie w branżach komunikacji, energii, systemów transportowych oraz systemów wodno-kanalizacyjnych."

Ale oto garść najnowszych przykładów. Jednym z nich może być kampania SolarWinds z 2020 roku, uważana przez wielu czołowych ekspertów za największy cyberatak przeprowadzony do tej pory. SolarWinds jest dostawcą oprogramowania do zarządzania i monitorowania IT Orion, z którego korzystają tysiące klientów z sektora rządowego i prywatnego na całym świecie. Natura tego typu narzędzia polega na tym, że musi ono być głęboko zintegrowane z systemami i procesami operacyjnymi organizacji, które z niego korzystają, a tym samym mieć dostęp do niezwykle wrażliwych informacji, w tym logów systemowych i danych dotyczących wydajności. Hakerzy, uważani za powiązanych z rosyjską służbą wywiadowczą SWR, zdołali wprowadzić złośliwy kod do aktualizacji oprogramowania Orion. Gdy klienci aktualizowali swoje oprogramowanie, nieświadomie instalowali ten złośliwy kod w swoich środowiskach IT, tworząc backdoor, przez który atakujący mogli uzyskać bezpośredni dostęp do systemów i danych klientów SolarWind, w tak zwanym ataku następczym.

Skutki tego ataku na łańcuch dostaw były kolosalne. Domniemywa się, że około 18 000 klientów SolarWind zainstalowało zagrożoną aktualizację oprogramowania, wpływając na wiele naruszeń ochrony danych, w tym należących do amerykańskich agencji federalnych, takich jak Homeland Security, Departament Stanu i Departament Skarbu, a także gigantów technologicznych, takich jak Microsoft, Intel i CISCO.

Są dwa główne powody wzrostu liczby ataków w łańcuchach dostaw. Pierwszym z nich jest częstszy outsourcing nierzadko kluczowych funkcji biznesowych na rzecz osób trzecich w ramach trwających wysiłków na rzecz cyfryzacji. Drugim powodem jest to, że zabezpieczenia cybernetyczne są w istocie dość silne na poziomie w poszczególnych organizacji, zwłaszcza tych działających w krytycznej infrastrukturze krajowej i ogólnie w sektorach podlegających ścisłym regulacjom, a także w organizacjach bezpieczeństwa narodowego. To oznacza, że bezpośrednie atakowanie tych organizacji stało się znacznie trudniejsze, co skłania atakujących do poszukiwania łatwiejszych punktów dostępowych do danych i systemów namierzonych przez siebie podmiotów.

Takie słabe ogniwa często znajdują się w rozległych sieciach dostawców i partnerów biznesowych organizacji, których oprogramowanie lub sprzęt są albo głęboko zintegrowane z ich własnymi wewnętrznymi systemami i procesami, albo na zewnątrz przetwarzają dla nich wrażliwe dane, w tym dane pracowników. Mogą to być na przykład zewnętrzne usługi płacowe, prawne i emerytalne oraz narzędzia do zwiększania produktywności i współpracy, dostawcy usług w chmurze lub rozwiązania z zakresu cyberbezpieczeństwa, które łącznie tworzą nasze cyfrowe łańcuchy dostaw. Wspomniane relacje outsourcingowe stworzyły złożony zestaw zależności i wprowadziły słabości, które atakujący coraz częściej wykorzystują.

Łańcuch nie kończy się jednak na tych tak zwanych zewnętrznych lub bezpośrednich dostawcach. Oni z kolei zależą od sieci często setek innych organizacji w zakresie świadczenia własnych usług, a lista jest długa. Na przykład, gdy rosyjski podmiot stwarzający zagrożenie ClOP wykorzystał luki w zabezpieczeniach MOVEit Transfer w 2023 r., wiele z tysięcy głośnych ofiar nawet nie korzystało z MOVEit Transfer. Pośrednio doznali oni szkody (dane ich lub ich klientów zostały eksfiltrowane) poprzez uderzenie w usługodawców, takich jak oprogramowanie do rozwiązań kadrowo-płacowych Zellis lub PBI Research Services, szeroko stosowane źródło informacji badawczych w branży finansowej, które wykorzystywały MOVEit Transfer do przetwarzania danych swoich klientów.

Co mogą zrobić członkowie NATO i Sojusz jako całość w obliczu tych zagrożeń, aby wzmocnić ochronę przed atakami na łańcuch dostaw na dużą skalę?

Jednym z głównych problemów związanych z zagrożeniami w łańcuchu dostaw jest indywidualne skupienie się na cyber zabezpieczeniach poszczególnych organizacji. Aby osiągnąć znaczące bezpieczeństwo łańcucha dostaw, potrzebujemy nowego podejścia opartego na ściślejszej współpracy. Na przykład, rząd Wielkiej Brytanii podjął już pierwsze kroki w ramach podejścia Defend As One, nakreślonego w niedawnej Rządowej Strategii Cyberbezpieczeństwa. Podejście to przewiduje „dowartościowanie dzielenia się danymi, wiedzą i możliwościami w zakresie cyberbezpieczeństwa w organizacjach (brytyjskiego sektora publicznego) w celu stworzenia silnej obrony nieproporcjonalnie potężniejszej niż suma jej części składowych".

Jest to krok we właściwym kierunku, który pośrednio uznaje, że przeszkodą na drodze do zwiększenia cyberbezpieczeństwa jest działanie w „bańkach” - „każdy działa tylko dla siebie". Musimy jednak pójść dalej. Organizacje są ze sobą powiązane, czy im się to podoba, czy nie, a odpowiedzialność za zapobieganie cyberatakom musi być współdzielona przez cały ekosystem. Nikt nie może zrobić tego sam. Ważną rolę do odegrania mają również organy regulacyjne. Musimy odejść od kultury ubezpieczeń, gróźb i kar na rzecz takiej, w której organizacje wspierające naszą krytyczną infrastrukturę krajową, agencje bezpieczeństwa narodowego, partnerzy z sektora prywatnego i wszyscy krytyczni dostawcy współpracują w celu wspólnej obrony przed atakami w łańcuchu dostaw i wzmocnienia ogólnej odporności całego ekosystemu.

Mogłoby to przybrać formę wirtualnych krajowych centrów operacyjnych bezpieczeństwa (SOC) dla łańcucha dostaw, ogólnie wzorowanych na brytyjskim Cyber Government Security Centre (Cyber GSeC), Government Cyber Coordination Centre (GCCC) lub kompleksowych centrach operacyjnych bezpieczeństwa (SOC) kierowanych przez brytyjskie NCSC. W ramach tych centów dla łańcucha dostaw, organizacje na dużą skalę zajmujące się bezpieczeństwem i dysponujące dużą wiedzą specjalistyczną w zakresie na przykład wyszukiwania i wykrywania ataków oraz reagowania na nie, powinny gromadzić się wokół swoich mniejszych partnerów i dostawców, aby chronić cały system, wspierając ich zaawansowaną wiedzą i zasobami.

W kontekście bardziej powszechnej atlantyckiej współpracy, te centra krajowe mogłyby następnie współpracować z nowym Zintegrowanym Centrum Obrony Cybernetycznej NATO (NATO Integrated Cyber Defence Centre - NICC) i jego Wirtualną Zdolnością Wspierania na wypadek Incydentów Cybernetycznych (Virtual Cyber Incident Support Capability - VCISC), które stanowią cenne uzupełnienie ogólnych zdolności NATO w zakresie cyberobrony i zapewnią wszystkim członkom Sojuszu bardziej przygotowany i równy dostęp do aktualnych informacji o zagrożeniach oraz, co kluczowe, wsparcie operacyjne i techniczne podczas incydentów.

Działalność NICC została niedawno uzgodniona na szczycie NATO w Waszyngtonie w 2024 roku i będzie zlokalizowana w strategicznym dowództwie wojskowym NATO w SHAPE w Belgii. Jego kompetencją będzie „ochrona sieci Sojuszu i jego państw członkowskich oraz wykorzystanie cyberprzestrzeni jako domeny operacyjnej" oraz „informowanie dowódców wojskowych NATO o możliwych zagrożeniach i słabych punktach w cyberprzestrzeni, w tym o prywatnej cywilnej infrastrukturze krytycznej niezbędnej do wspierania działań wojskowych". Nowe Centrum będzie zatem koncentrować się na dostarczaniu odpowiednich informacji o zagrożeniach w celu usprawnienia wojskowego procesu decyzyjnego, a także „zwiększenia naszej świadomości sytuacyjnej w cyberprzestrzeni oraz wzmocnienia zbiorowej odporności i obrony".

Z drugiej strony, VCISC, który został uruchomiony na szczycie NATO w Wilnie w 2023 roku, będzie koncentrować się na poprawie zdolności członków NATO do reagowania na incydenty poprzez wspieranie „krajowych działań zaradczych w odpowiedzi na znaczące złośliwe działania cybernetyczne". Nowa zdolność pozwoli członkom Sojuszu prosić o wsparcie i otrzymywać pomoc cybernetyczną w sytuacjach kryzysowych bez odwoływania się do art. 5, ale także uzyskiwać szybki dostęp do wiedzy technicznej, pomocy i wymiany informacji podczas incydentów.

Wspomniane nowe zdolności NATO mogłyby znacząco zwiększyć wiedzę specjalistyczną i zasoby proponowanych krajowych centrów zabezpieczeń działających na rzecz łańcucha dostaw, jednocześnie tworząc podstawy do ewentualnego tworzenia przyszłego zintegrowanego, atlantyckiego centrum na potrzeby łańcucha dostaw.

NATO osiągnęło podejście „jeden za wszystkich, wszyscy za jednego" w obronie wspólnego bezpieczeństwa Sojuszu. Teraz na podobnej zasadzie Sojusz, a także krajowe instytucje bezpieczeństwa, organy regulacyjne, organizacje i ich dostawcy w państwach członkowskich Sojuszu muszą współpracować, aby stawić czoła realnemu i bezpośredniemu zagrożeniu stwarzanemu przez rozprzestrzeniający się, ale często ukryty wzrost ataków na nasze cyfrowe łańcuchy dostaw.