Případ Target: Jak malý dodavatel srazil giganta na kolena
Ačkoli už uplynula dlouhá doba od roku 2013, kdy došlo k útoku na dodavatelský řetězec společnosti Target, stále je tento incident cenným zdrojem poučení pro současné CXO a manažery.
Více než kdy dřív jsou firmy propojené se svými dodavateli globálně. Tyto řetězce často překračují hranice kontinentů i časová pásma. Na jedné straně získávají firmy efektivitu provozu, na druhé si ale také vykoledují potenciální bezpečnostní díry ve svém fungování.
Společnost Target by mohla povídat. Jejich největší bezpečnostní průšvih nastal právě skrze malého dodavatele. Útoky na velké cíle s rozsáhlým rozpočtem na bezpečnost totiž nejsou pro útočníky tak rentabilní. Je pro ně mnohem efektivnější využít třetí stranu jako vstupní dveře do světa zabezpečeného giganta.
Jelikož si dodavatelé se svými zákazníky navzájem důvěřují, útočníci pak atakují pod rouškou značky „Důvěryhodný partner“. Jak ale takový útok funguje a co se jako manažeři můžete z případu Target naučit? O tom je dnešní článek.
Co je útok přes dodavatelský řetězec?
Ukážeme si tento princip na příkladu supermarketu. Takový obchod má různé dodavatele pro různé produkty. Jeden z jeho dodavatelů mu každý den veze nápoje. Jednou se stane, že lupiči dodávku přepadnou a převlečou se za pracovníky dodavatele.
Dovezou zboží do supermarketu, takže všechno vypadá v pořádku. Jenže lupiči se začnou nepozorovaně pohybovat obchodem, krást zákazníkům peněženky a ještě vykradou účetní oddělení.
Stejným způsobem funguje kybernetický útok přes dodavatele. Jen místo lupičů máme škodlivý software (malware) a místo supermarketu libovolnou firmu na světě.
Ty základní dva kroky ale zůstávají vždy stejně:
- Útočníci nejprve zaútočí na dodavatele, zpacifikují ho a převezmou kontrolu nad určitou aktivitou.
- Využijí dodavatelských propojení na zákazníka a hlavní útok provedou přes odsouhlasené kanály mezi dodavatelem a zákazníkem.
Jak to proběhlo v Targetu?
Tyto obecné principy nyní uplatníme na incident ve společnosti Target.
Útočníci využili phishingového útoku na společnost Fazio Mechanical Services, která do Targetu dodávala vzduchotechniku. Díky sociálnímu inženýrství dostali přístup do interních systémů (KrebsOnSecurity).
Následně pak útočníci využili platformu pro dodavatele. Nevyužili tedy produkty a služby, které napadený dodavatel do Targetu dodával, ale systém, který sloužil k fakturaci a správě kontraktů v dodavatelském řetězci Targetu (CEI).
Útočníci se díky tomuto přístupu dokázali dostat do interní sítě Targetu a implementovat malware na platební terminály na pobočkách retailového giganta. To vše těsně před vypuknutím Black Friday (RedRiver).
Hackeři infikovali ještě některé další servery v rámci ekosystému Target, aby dokázali ukradená data z platebních karet dostat na servery mimo interní sítě retailové společnosti (US Senate).
Ačkoli bezpečnostní oddělení mělo nasazený software na detekci malwaru a antivirus, tyto systémy narazily na zásadní problém – lidi. Software byl totiž nastavený pouze na detekci, ne odstranění infikovaných balíčků. I když se sirény rozezněly, zaměstnanci v Targetu to ignorovali. Dokonce se o útoku dozvěděli až od společností vydávající kreditní karty (Columbia U).
Dopady na Target
V rámci útoku došlo na odcizení údajů ze 70 milionů platebních karet a osobních údajů 40 milionů zákazníků (Framework Security). Šlo o detaily platebních karet a osobních údajů, které bylo možné použít pro neautorizované platby. Jinak řečeno – útočníkům se podařilo ukrást taková data, která ještě mohli následně „podojit”.
Co na to náklady? Target musel vynaložit částku 292 milionů dolarů, která pokryla hromadnou žalobu a také náklady na státní vyšetřování. Na nové nebo updatované IT zabezpečení padlo dalších 100 milionů.
Co na to trh? V den oznámení kyberútoku došlo k poklesu akciové hodnoty o 2,2 %. Přeloženo do hodnoty společnosti – úbytek 890 milionů dolarů na hodnotě.
Co na to zákazníci? V roce následujícím po útoku vydělal Target o 28,6 % méně ve srovnání s předchozím obdobím (NBER). Zákazníci nebyli spokojení a u spousty z nich panoval strach v tomto řetězci znovu nakupovat.
Co na to struktura? Jak CEO, tak CIO po tomto incidentu odešli ze svých funkcí (SIPA).
Jak je vidět, na Target dolehli následky ze všech stran. Stačil jeden neautorizovaný vstup do systému a následkem byly celkové ztráty šplhající k miliardě dolarů (SIPA).
Poučil se Target následkem této zkušenosti? Ano. Nejen, že posílil interní bezpečnostní systémy, ale dokonce využil bezpečnější varianty pro platební terminály.
Firma také zřídila dohledové centrum, oddělení zabezpečení, posílila interní bezpečnostní tým a vyměnila vedení (RedRiver).
Jak se můžou CXO beztrestně poučit?
Díky detailně zpracovanému vyšetřování Target incidentu existuje spousta doporučení a výstupů, které mají CXO pomoct nechytnout se do stejné pasti, jak vedení retailového giganta před více než dekádou. Tyto best practices vyplývají z detailu útoku, který proběhl.
- Bezpečný dodavatel – Dávat si pozor na vlastní kyberbezpečnost nestačí. Firmy by měly důkladně prověřovat i veškeré své dodavatele a vyžádat si audity jejich zabezpečení.
- Need-to-Know – Dodavatelé nepotřebují dalekosáhlá práva v rámci systémů svých zákazníků. Firma musí minimalizovat přístupy externích subjektů na holé minimum.
- Zero trust – A když už nějaká práva dodavatel dostane, neznamená to, že je automaticky označen jako důvěryhodný. Princip nulové důvěry by měl fungovat i uvnitř firmy (u jejích zaměstnanců), natož pak u třetích stran.
- Reakce na detekci – Target měl funkční systém detekce malwaru, ale selhali lidé, kteří na takový nález měli reagovat. Proto je nutné detekční systémy doplnit o procesy, které v případě narušení bezpečnosti vejdou v účinnost. Je lepší řešit 10 planých poplachů, než jeden zanedbaný útok.
- Bezpečnost je strategické téma – CXO dost často nemají hloubkové porozumění technickým otázkám a ani to nemá být jejich priorita. To ale neznamená, že veškerá témata, která s IT souvisí, odsunou na IT oddělení. Otázka kybernetické bezpečnosti totiž není otázkou technickou. Jak je vidět, v Targetu skončila nejen CIO, ale také CEO. Oba nesli zodpovědnost za problém, který nastal.
Co si odnesete vy?
Na závěr si můžeme shrnout lekce z případu Target do jednotlivých vět.
- Síla řetězce je udávaná jeho nejslabším článkem.
- Základem spolupráce je nulová důvěra.
- Upozornění na kybernetické problémy musí doplnit lidská reakce.
- Když nastane problém, komunikujte hned.
- Kybernetická bezpečnost je hlavně tématem vedení.
Která si k srdci vezmete vy?
