Cichy zabójca – Cyberbezpieczeństwo w branży spożywczej

Wyobraźcie sobie, że w całym kraju dochodzi do zatruć pokarmowych i sytuacja kryzysowa rozwija się w błyskawicznym tempie.
Sprawdzacie wielokrotnie rejestry przetwarzania – wszystkie partie gotowanego kurczaka wyglądają na nieskażone, więc jak do tego doszło?

Bez waszej wiedzy haker – prawdopodobnie niezadowolony były pracownik – włamał się zdalnie przy pomocy niezabezpieczonych urządzeń IoT i zmienił krytyczne procesy operacyjne, w wyniku czego doszło do powstania partii niedogotowanego i niebezpiecznego dla zdrowia kurczaka. Niestety producent nie wie, które partie kurczaka są skażone, więc musi wycofać wszystkie produkty z rynku w całym kraju.

Wasza przewaga rynkowa zniknęła, gdyż konkurencja właśnie wprowadziła na rynek identyczny produkt na podstawie skradzionej przez hakerów własności intelektualnej. Haker skradł wrażliwe dane biznesowe oraz informacje o łańcuchu dostaw należące do jednego z waszych głównych klientów detalicznych i żąda ogromnego okupu. Co robić?

Nieprawdopodobne historie? A może warto się nad nimi zastanowić.

W przeszłości na zagrożenie ze strony cyberprzestępców najczęściej narażony był sektor finansowy i sprzedaż detaliczna, przy czym najczęściej ataki dotyczyły naruszenia bezpieczeństwa danych. Ostatnio zaatakowane zostały również systemy służby zdrowia i administracji rządowej. W miarę jak sektory te zwiększają poziom zabezpieczeń, cyberprzestępcy kierują uwagę na łatwiejsze cele – w tym z pewnością na mocno narażony sektor spożywczy.

 

Problem polega częściowo na tym, że sektor żywności uważa się za wolny od tego zagrożenia. Dlaczego ktokolwiek miałby atakować firmę produkującą żywność? Krajowe i międzynarodowe organizacje przestępcze często atakują dostawy żywności, dokonując oszustw polegających na fałszowaniu lub obniżaniu jakości produktów na wielką skalę, kradzieży i przemycie. Zdarzają się nawet przypadki włamań do systemów magazynowania i dystrybucji w celu dostarczenia podrobionych produktów i wprowadzenia ich do legalnego łańcucha dostaw. Zagrożenia te są realne i firmy branży spożywczej różnych wielkości muszą zwiększyć poziom zabezpieczenia informacji. Oto powody:

  1. Technika informacyjna (IT) i cyberbezpieczeństwo to nie to samo. W większości firm działy IT są jednocześnie odpowiedzialne za cyberbezpieczeństwo. Na tym polega podstawowy problem. Te dwie dyscypliny różnią się od siebie zasadniczo i wymagają zupełnie innego podejścia, innego sposobu myślenia i innych kwalifikacji. 

  2. „Nasza firma zaliczana jest do kategorii MŚP – nie mamy się czym martwić”. Wnioski z raportów dowodzą, że MŚP są celem ataków równie często jak duże firmy – głównie przez pocztę elektroniczną.

  3. „Wszystkie funkcje IT i cyberbezpieczeństwo zleciliśmy podwykonawcom – to ich problem”. Dostawcy usług IT są żyłą złota dla hakerów i dlatego często stają się celem ich ataków. Ich problem może szybko stać się waszym problemem.

  4. Cyberprzestępczość staje się łatwiejsza i coraz bardziej powszechna. Dawniej przestępstwa tego typu wymagały specjalistycznych umiejętności kodowania i programowania. Obecnie cyberprzestępczość sama stała się formą działalności gospodarczej, a dla twórców złośliwego oprogramowania bardziej opłacalne i zdecydowanie bezpieczniejsze jest oferowanie swoich usług i sprzedawanie produktów przestępcom.

  5. Przestarzałe systemy. Oprogramowanie stosowane obecnie w branży spożywczej opiera się zazwyczaj na zdezaktualizowanych platformach takich jak Linux lub Windows 98, czyli na systemach zainstalowanych ponad 20 lat temu. Te anachroniczne systemy nie mogą być już aktualizowane ani naprawiane.

  6. Silne powiązania. Połączenie wewnętrznych procesów produkcyjnych z zewnętrznymi systemami i sieciami przez Internet umożliwia zwiększenie produktywności i skuteczności procesów. Wadą tego rozwiązania jest obniżenie poziomu bezpieczeństwa na styku nowoczesnych systemów i przestarzałego oprogramowania. Oznacza to również, że naruszenie bezpieczeństwa w jednym punkcie szybko rozprzestrzenia się na całą połączoną sieć.

  7. Po co naprawiać coś, co nie jest zepsute? Kierownictwo zazwyczaj niechętnie inwestuje w nowsze, lepiej zabezpieczone systemy, gdy stary system działa sprawnie, a w ich mniemaniu ryzyko jest hipotetyczne. Niestety na dłuższą metę oszczędności są pozorne.

  8. Brak świadomości. Personel operacyjny jest przeszkolony do podtrzymania działania aktualnego systemu i nie posiada wiedzy na temat zagrożeń cyfrowych.

  9. Zalew elektroniki. Urządzenia tradycyjne bez podzespołów elektronicznych (na przykład karmniki deratyzacyjne) są zastępowane urządzeniami IoT. Posiadają one zazwyczaj standardowe czujniki z fabrycznymi lukami w zabezpieczeniach obsługiwane przez źle zaprogramowane i niezabezpieczone oprogramowanie. Podczas nabywania takich systemów istotne kwestie bezpieczeństwa są często ignorowane.

Istnieją różne typy ataków cyberprzestępczych, na które mogą być narażone firmy w branży spożywczej. Możliwa jest utrata przewagi rynkowej, gdy konkurencja wprowadzi na rynek identyczny produkt na podstawie skradzionej przez hakerów własności intelektualnej. Haker może skraść wrażliwe dane biznesowe oraz informacje o łańcuchu dostaw należące do jednego z waszych głównych klientów detalicznych i zażądać ogromnego okupu. W każdym przypadku konieczne jest odpowiednio wczesne zarządzanie ryzykiem.

 

Co można zrobić?

  1. Czas na CHACCP, czyli Analizę Zagrożeń Cyfrowych i Krytyczny Punkt Kontrolny. Zapewnienie jakości i funkcje techniczne są stosowane w branży spożywczej od 30 lat jako HACCP, czyli Analiza Zagrożeń i Krytyczny Punkt Kontrolny. CHACCP jest rozszerzeniem tego samego podejścia opartego na analizie ryzyka związanego z zagrożeniami cyfrowymi oraz powiązaniami w środowisku produkcyjnym zastosowanym do zintegrowanego systemu zarządzania bezpieczeństwem żywności.  
  2. Wdrożenie norm cyberbezpieczeństwa. Większość firm nie myśli nawet o sprawdzeniu swoich zabezpieczeń przy pomocy testu penetracyjnego lub skorzystania z BitSight w celu określenia ryzyka dla cyberbezpieczeństwa ze strony dostawców i zastosowaniu go przy wyborze, monitorowaniu i ocenie dostawców. Rozsądną formą doskonalenia jest uwzględnienie wdrożenia ISO 27001 Zarządzanie Bezpieczeństwem Informacji oraz wprowadzenie jej jako wymogu dla kluczowych dostawców, szczególnie tych, których platformy IT są zintegrowane z waszą organizacją.
  3. Rozwój świadomości. Wszyscy pracownicy powinni zostać uświadomieni w kwestii zagrożeń cyfrowych w trakcie szkoleń wprowadzających oraz powinni być zachęcani do wczesnego ostrzegania o wszystkich nietypowych zdarzeniach mogących stanowić zagrożenie dla cyberbezpieczeństwa.

Firmy wdrażające te zdroworozsądkowe kroki nie tylko obniżają ryzyko w swojej działalności, ale z czasem stwierdzają również, że stanowią one istotny wkład w powstanie solidnej ochrony w postaci należytej staranności, a nawet mogą zapewnić im czołową pozycję na rynku oraz przewagę nad konkurencją.

 

Autor: Richard Werran

Dyrektor ds. sektora spożywczego ─ EMEA