Вашингтон (AFP) — элита российских хакеров, которые получили доступ к компьютерным системам федеральных агентств в прошлом году упорнейшей по одному сети каждого деления, чтобы сеять хаос.
Вместо этого они проникли, внедрив вредоносный код в обновление программного обеспечения, которое было отправлено в тысячи государственных учреждений и частных компаний.
Хакеры смогли использовать уязвимости в цепочке поставок, чтобы запустить масштабную операцию по сбору разведданных, что не было особенно удивительным. Американские официальные лица и эксперты по кибербезопасности в течение многих лет били тревогу по поводу проблемы, которая вызвала хаос, включая миллиарды долларов финансовых потерь, при этом оспаривая простые решения со стороны правительства и частного сектора.
«Нам придется обойти угрозу цепочки поставок и найти решение не только для нас здесь, в Америке как ведущей экономике мира, но и для всей планеты», — заявил Уильям Эванина, ушел в отставку на прошлой неделе. Представитель государственной контрразведки в интервью. «Нам нужно будет найти способ убедиться, что в будущем у нас будет безрисковая ситуация и мы будем доверять нашим поставщикам».
Вообще говоря, цепочка поставок относится к сети людей и компаний, участвующих в разработке конкретного продукта, и она ничем не отличается от проекта строительства дома, в котором задействованы подрядчик и сеть субподрядчиков. Огромное количество шагов в этом процессе, от проектирования до производства и распространения, а также различные вовлеченные организации дают хакеру, стремящемуся проникнуть в компании, агентства и инфраструктуру, множество точек входа.
Это может означать, что ни одна компания или руководитель не несет исключительной ответственности за защиту всей производственной цепочки поставок. И даже если большинство продавцов в цепочке находятся в безопасности, одна уязвимость может быть всем, что понадобится иностранному правительственному хакеру. На практике домовладельцы, строящие особняк, похожий на замок, могут оказаться жертвами системы сигнализации, которая была взломана еще до ее установки.
Самый последний случай против федеральных агентств касался хакеров из российского правительства, которые предположительно внедрили вредоносный код в популярные программы, отслеживающие корпоративные и государственные компьютерные сети. Этот продукт производится компанией SolarWinds из Техаса, у которой тысячи клиентов в федеральном правительстве и частном секторе.
Вредоносное ПО позволило хакерам получить удаленный доступ к нескольким сетям агентств. Пострадавшие включают министерства торговли, казначейства и юстиции.
Для хакеров имеет смысл бизнес-модель, которая напрямую нацелена на цепочку поставок.
«Если вы хотите взломать 30 компаний на Уолл-стрит, зачем взламывать 30 компаний на Уолл-стрит (по отдельности), когда вы можете перейти на сервер — склад, облако — где все эти компании хранят свои данные?», — сказала Иванина. умнее, эффективнее и эффективнее.
Хотя президент Дональд Трамп проявил небольшой личный интерес к кибербезопасности, даже выслав главу агентства по кибербезопасности Министерства внутренней безопасности за несколько недель до того, как было обнаружено нарушение со стороны России, президент Джо Байден сказал, что сделает это приоритетом и возложит расходы на противников, несущих из атак.
Предполагается, что защита цепочки поставок должна быть ключевой частью этих усилий, и очевидно, что над этим нужно работать. В отчете Счетной палаты правительства, опубликованном в декабре, говорится, что обзор 23 агентских протоколов для оценки и управления рисками цепочки поставок показал, что только несколько агентств внедрили каждую из семи «основных практик», а 14 агентств не внедрили ни одной.
Официальные лица США заявляют, что ответственность не может лежать только на правительстве и должна включать координацию с частным сектором.
Но правительство пыталось предпринять шаги, в том числе через указы и правила.
Положение Закона о государственной обороне на 2019 финансовый год запрещает федеральным агентствам заключать контракты с компаниями, которые используют товары или услуги пяти китайских компаний, включая Huawei. Официальная правительственная стратегия контрразведки с 2020 по 2022 год сделала снижение угроз для основных цепочек поставок в США одним из пяти ключевых столпов.
Возможно, самым известным проникновением в цепочку поставок до SolarWinds была атака NotPetya, в ходе которой вредоносный код, внедренный российскими военными хакерами, был выпущен через автоматическое обновление программы подготовки налогов на Украине под названием MeDoc. Эти вредоносные программы заразили своих клиентов, и в результате атаки общий ущерб по всему миру составил более 10 миллиардов долларов.
В сентябре министерство юстиции предъявило обвинение пяти китайским хакерам, которые, по его словам, взломали поставщиков программного обеспечения, а затем изменили исходный код, чтобы обеспечить больше нарушений для клиентов поставщика. В 2018 году администрация объявила о возбуждении аналогичного дела против китайских хакеров, обвиняемых во взломе поставщиков облачных услуг и внедрении вредоносного ПО.
«Никто не был удивлен сюрпризом SolarWinds», — сказал представитель Джим Лэнгвин, демократ из Род-Айленда и член Комиссии по киберпространству солярия, двухпартийной белой книги, призывающей к защите цепочки поставок за счет улучшения разведки. И поделитесь информацией.
По словам Брэндона Валериано, эксперта по кибербезопасности из Университета морской пехоты США, отчасти привлекательность атаки на цепочку поставок для хакеров заключается в том, что это «ожидаемый плод», поскольку Соединенные Штаты часто не понимают или не понимают, насколько на самом деле разрознены их сети. Старший консультант солярия.
«Проблема в том, что мы практически не знаем, что есть». — сказал Валериано. «А иногда оказывается, что потом мы задыхаемся».
Вы хотите быть в курсе?
Узнавайте последние новости страхования
Он отправляется прямо на ваш почтовый ящик.
