Кибербезопасная логистика

Вероятно, самый знаменитый киберинцидент с цепочкой поставок – атака вымогателей на французский судоходный гигант CMA CGM Group. Ее обнаружили в дочерней фирме Ceva Logistics, и для противодействия компания отключила все свои основные ИТ-системы. Наибольшая часть сбоев произошла в процессах компании, связанных с электронной коммерцией, некоторые функции были остановлены на 2 недели. Ущерб составил порядка 50 млн долларов, последствия отразились на глобальном рынке.

Начав с серьёзных цифр, которые заставляют задуматься, наш эксперт Дмитрий Лаппо, директор по информационной безопасности, Awara IT, рассказал о том, почему так важно приоритизировать защиту логистических процессов в компании.

Наглядные примеры и статистика

Наш разговор начинается с того, что мы вспоминаем самые известные инциденты.

Дмитрий Лаппо: «Актуальность вопросов кибербезопасности, связанных с логистическими процессами, либо представляющих интересы логистических компаний, действительно, далеко не очевидна для многих специалистов. Если опираться на достоверные источники данных, то суммарно на территории Российской Федерации на банки приходится порядка 30% атак, порядка 20% на СМИ, и – как бы это парадоксально не звучало – порядка 60% на логистические компании[i].

Напомню, что РФ стала лидером по количеству атак среди 150 стран мира, в которых 12–15 мая 2017 года вирус WannaCry заблокировал системы более чем на полумиллионе компьютеров частных пользователей и коммерческих организаций. Чуть позже, 27 июня 2017 года, вирус Petya атаковал рабочие станции нефтяных, телекоммуникационных и финансовых компаний, включая гигантов, у которых налажена система ИБ.

К сожалению, как руководители, так и сотрудники до конца не понимают важности вопросов, связанных с ИБ, потому что у них в голове сформировано неверное понятие логистики. Для большинства логистика – это перевоз какого-то груза транспортом из точки А в точку Б. Но на самом деле сюда же можно отнести и оплату услуг, например, курьерских компаний, онлайн-переводы посредством электронных кошельков, передачу данных и так далее. И именно на этих процессах фокусируются злоумышленники».

[i] Доли не составляют вместе 100%, потому что многие атаки направлены на разные компании одновременно.

Снежный ком логистического процесса

Многие компании и их сотрудники забывают о том, что они не только сами работают с клиентами, но в свою очередь тоже являются чьими-то клиентами в длинной цепочке, которая и называется логистика. Причем состоит она из внутренних и внешних звеньев.

Дмитрий Лаппо: «На самом деле логистика – это банальная передача информации от одного лица другому. Предположим, что на заводе человек с планшетом фотографирует сломанную деталь, потом бюро сертификации ищет, где ее можно заказать, запрашивает различного рода NDA, договоры, таможенные документы, расчет стоимости. Всё это идёт через дистрибьютора или реселлера. Те, в свою очередь, обращаются к производителю либо к другому поставщику. Если оригинальных деталей нет, ищут аналоги, и рассылается огромное количество запросов по другим компаниям. Вся эта информация аккумулируется и растёт как снежный ком.

Это тоже логистические процессы, и неважно, что никто никуда не едет. Банальная отправка письма из одного почтового сервера на другой – это тоже логистический процесс, в который злоумышленники всё время пытаются вмешаться. И это может затронуть всех».

Информационный бум шопинга

Дмитрий отмечает, что зарубежные примеры неубедительны для тех, у кого нет западных партнеров. Зато всем понятна недавняя Черная пятница или грядущий новогодний бум шопинга и доставок, в который будут задействованы службы доставки нескольких российских маркетплейсов и крупных розничных сетей, а еще наёмная логистика и посредники.

Дмитрий Лаппо: «Весь мир глобально инвестирует в информационную безопасность, особенно логистические транспортные компании, им приходится много физически перемещаться в нынешних условиях. А количество заказов только растет. Обычные пользователи отсылают множество данных, включая адреса, номера телефонов, домофона, доступность лифта, время доставки, по которому в том числе можно просчитать дома ли вы, и так далее.

Формируются огромные глобальные датасеты, завязанные на логистике, которые в моём понимании превосходят всё то, что аккумулируется в социальных сетях. Логистические компании обладают, на мой взгляд, гораздо большими объёмами данных и более ценными, особенно с точки зрения финансовых операций».

Поезд или стартап как потенциальная угроза

Когда мы рассматриваем примеры, то говорим уже о результатах, в то время как сами атаки могут идти незаметно в течение месяцев или даже лет. А начинаются почти все издалека с разными заходами.

Дмитрий Лаппо: «В практике очень часто встречаются ситуации, когда злоумышленники заранее взламывают какой-то стартап. Атаковать крупную компанию, в которой развита стратегия кибербезопасности, невыгодно и долго. Достаточно высок шанс, что злоумышленников самих скомпрометируют. Гораздо проще внедриться на этапе зарождения «самородка», который ещё не вышел на биржу, не привлекает инвесторов. Для них приоритет готовности продукта и подготовки MVP гораздо выше в сравнении с DevSecOps-процессами или ИБ. Соответственно, взламывают эту маленькую компанию, причём делают это в автоматическом режиме, а дальше эту компанию покупает какой-либо гигант, и при объединении инфраструктур после поглощения и переноса интеллектуальной собственности происходит, так называемое, горизонтальное перемещение (lateral movement). В результате злоумышленники попадают в периметр крупной компании за счёт этого «троянского коня».

Другой пример: огромное количество атак в мире было зафиксировано в поездах. С недавних пор на комфортабельных рейсах стали предоставлять услуги подключения к USB-розеткам либо к условно-бесплатному Wi-Fi. Мы все стали мобильными, работаем на ходу и командировка – это тоже логистическое перемещение. Злоумышленники атакуют не ваше устройство, а интерфейсы и средства для комфортабельного ведения рабочих процессов пассажирами. И ведь не пользоваться ими нельзя, потому что в поездах местами очень плохая связь и нет мобильного Интернета. Злоумышленник не будет атаковать кого-то конкретного, будет атакован роутер, который раздаёт этот самый Wi-Fi. Дальше будет воспроизводиться атака типа MITM, то есть перехват пакетов, просмотр того, кто на какие сайты заходит, какие логины и пароли вводит, какую информацию передаёт. Поэтому очень важно шифрование: даже если информацию перехватят, по крайней мере, не смогут прочитать».

Слабые места логистики в новой реальности

Факторы уязвимости связаны с технологиями, людьми и процессами. И после всемирного перехода на удаленную и гибридную работу на первый план вышли именно люди и процессы.

Дмитрий Лаппо: «Я всегда говорил и говорю, что компании не были готовы к выходу на удалёнку, то есть их периметры безопасности были заточены на физическую работу из офиса. А сейчас они вдвойне не готовы к тому, что сотрудники вернутся назад и принесут внутрь периметра всё, что они получили в процессе удалённой работы.

Это может звучать неубедительно, поэтому я призываю не забывать, что есть злоумышленники, атаки которых призваны причинить реальный ущерб людям. Например, можно подменить маршруты доставки вакцины, похитить денежные средства на ее оплату, либо подменить документацию. В результате целый город, либо регион может остаться без медикаментов, подвергнув риску жизни людей. Так логистика и жизни взаимосвязаны в парадигме информационной безопасности».

Третий не лишний, третий – небезопасный

Иногда новые задачи позволяют понять старые. В ситуации, когда доступ к системам компании извне стал нормой, логично вспомнить про проблему, существовавшую всегда и связанную с масштабами бизнеса.

Дмитрий Лаппо: «Крупный бизнес, как правило, обладает своими логистическими процессами, штатом сотрудников, ИТ-департаментом, огромным количеством различного рода IoT-устройств, с которыми также связана ещё одна огромная проблема безопасности. Причем люди и устройства могут располагаться в разных городах, но их объединяет то, что всё находится в рамках одного домена. Я не говорю про физический URL-адрес или одно юридическое лицо. Я говорю в целом про ИТ-системы, их связанность с точки зрения ИБ и того, что этими системами управляют одни и те же люди.

Если говорить про малый и средний бизнес, конечно же, у них банально нет средств для того, чтобы обеспечить все запросы ИБ самостоятельно. Поэтому они привлекают сторонние фирмы, которые отвечают за часть логистических процессов. Ну, например, компания самостоятельно отвечает за приём заявок и подготовку документации. Далее она отправляет все эти документы в другую компанию, которая, например, везёт заказанный товар, помогает с таможенными процедурами на территории РФ. И здесь мы сталкиваемся с проблемой так называемых третьих лиц. У вас внутри всё может быть безопасно, но для тех или иных технологических, документальных, юридических процессов вы пускаете в свой периметр гостевых пользователей и должны сделать так, чтобы они не несли угрозы».

Ставка на инсайдера

Когда вы хотите оказать услугу клиенту, то стараетесь лучше его понять и собрать максимум данных. Злоумышленники действуют так же, только методы сбора у них другие.

Дмитрий Лаппо: «Злоумышленники, конечно же, играют на биржах и фьючерсах, это значимый кусок прибыли теневого ИТ. Похищение конфиденциальных данных о логистике транспортных компаний позволяет вычислить скрытый тендер или сделку, которая должна перевернуть рынок. Да, у них нет информации о проведении сделки, но есть информация об отгрузке того или иного груза, который изготавливался где-то на заводе, и по данной информации можно понять, кто с кем и какую сделку заключил, на какие суммы, в какие сроки. Эта информация в дальнейшем используется для применения методов социальной инженерии, которые сейчас наиболее востребованы в плане атак и от которых сложнее всего защититься.

Если высокотехнологичную систему безопасности, в том числе основанную на искусственном интеллекте, обмануть достаточно тяжело, то уставшего сотрудника к вечеру пятницы, либо наоборот, не очень отдохнувшего в понедельник с утра, гораздо проще ввести в заблуждение условным фишинговым письмом. И это вполне возможно, если сообщение грамотно написано с использованием ключевых факторов и паттернов, на которые сотрудников учат обращать внимание, с предварительным сбором информации и использованием методов и приёмов социальной инженерии».

Инвестиции в безопасность логистики

Усиление ИБ, конечно же, потребует определённого уровня расходов. Ни руководитель логистики, ни специалист по безопасности не принимают финансовых решений, могут на них только влиять, и им всё равно придётся идти либо к генеральному директору, собственнику, либо к совету директоров.

Дмитрий Лаппо: «В первую очередь, конечно, нужно показывать примеры из практики. Для того чтобы корректно донести мысль для вышестоящего руководства, можно начинать с малого, проводить так называемые PEN-тесты или аудит информационной безопасности.

Это делается относительно быстро и позволяет выявить действительно критически уязвимые места. Команда пентестеров, этичных хакеров, в отведённое время проникает в систему и «перекрывает кислород» всей компании. После этого, естественно, вышестоящее руководство начинает паниковать, потому что видит, что опасность остановки огромного логического центра понесёт не только финансовые убытки, но и репутационные, что порой важнее в нашем современном мире. Вам уже не будут однозначно доверять, поскольку будут понимать, что вы изначально пренебрежительно отнеслись к данным и к партнёрам. Это будет вполне логичным аргументом для того, чтобы, по крайней мере, начать инвестировать в безопасность.

Мы всегда выступаем в роли догоняющих, что невероятно усложняет нашу работу – мы всегда на 2, на 3, на 4 шага позади. И если вы начнёте внедрять меры предварительного анализа, то вероятнее всего, вы защититесь от нецеленаправленных атак, которые воспроизводятся в автоматическом режиме по заготовленным скриптам, за счёт сканирования портов и поиска уязвимостей. Взломать вас будет дороже и дольше, возрастёт шанс того, что вы уличите злоумышленников. Таким образом, вы изначально будете гораздо менее привлекательны по сравнению с другими компаниями, которые вообще не занимаются безопасностью».