Sigurimi i zinxhirëve të furnizimit dixhital të Britanisë dhe NATO-s
Nga Chris Luenen, Haydn Brooks
Në konferencën e tij të parë për shtyp pas zgjedhjeve, kryeministri i ri i Mbretërisë së Bashkuar Sir Keir Starmer theksoi angazhimin “të palëkundur” të MB ndaj NATO-s dhe se “detyra e parë” e qeverisë së tij duhet të jetë siguria dhe mbrojtja. Si pjesë e këtij angazhimi, një fokus i rëndësishëm duhet të vendoset në sigurimin e zinxhirëve të furnizimit dixhital të Britanisë dhe Aleatëve të tjerë të NATO-s kundër sulmeve kibernetike të shtuara nga aktorë kërcënimi të vendosur për të shkelur infrastrukturën tonë kritike kombëtare.
Vetëm një javë pas zgjedhjes së tij, kryeministri Starmer mori pjesë në samitin e tij të parë të NATO-s, i cili u zhvillua në Uashington DC në korrik. Në samit, ai theksoi “angazhimin e palëkundur” të Britanisë ndaj Aleancës dhe njoftoi se Mbretëria e Bashkuar do të kryente një Rishikim Strategjik të Mbrojtjes dhe do të rriste shpenzimet e saj të mbrojtjes në 2.5% të PBB-së. Gjithashtu në korrik, qeveria e Starmer përcaktoi planin e saj për të prezantuar një projekt-ligj të ri të sigurisë kibernetike dhe qëndrueshmërisë, i cili konsiderohet gjerësisht si një ekuivalent i Mbretërisë së Bashkuar me Direktivën e re të Rrjetit dhe Sistemeve të Informacionit të BE-së 2 (NIS2) që do të hyjë në fuqi nga 18 tetori 2024.
Zgjedhja e Starmer si kryeministër i ri i Britanisë dhe samiti i NATO-s u zhvilluan në një kohë të rritjes së shpejtë të tensioneve gjeopolitike, me Rusinë dhe Kinën në veçanti duke lëvizur gjithnjë e më shumë përtej përfshirjes në konflikte ekonomike dhe rajonale me Perëndimin, dhe duke synuar aleatët e NATO-s më drejtpërdrejt përmes kibernetikës. sulmet. Këto sulme nuk kufizohen më as në fushatat e spiunazhit kibernetik. Ato synohen gjithnjë e më shumë drejt përçarjes dhe dëmtimit të ekonomive tona, ose të dizajnuara si operacione të fshehta për t’u infiltruar, dhe më pas për t’u fjetur, në infrastrukturën tonë kritike kombëtare apo edhe në institucionet e sigurisë kombëtare, në pritje për t’u shkaktuar në rast të përshkallëzimit të tensionit.
Siç paralajmëruan Agjencia e SHBA-së për Sigurinë Kibernetike dhe Sigurinë e Infrastrukturës (CISA) dhe Byroja Federale e Hetimit (FBI) në fillim të këtij viti në një këshillë të përbashkët, “aktorët kibernetikë të sponsorizuar nga shteti i Republikës Popullore të Kinës (PRC) po përpiqen të pozicionohen paraprakisht në rrjetet e teknologjisë së informacionit (IT) për sulme kibernetike përçarëse kundër infrastrukturës kritike të SHBA-së në rast të një krize të madhe ose konflikti me Shtetet e Bashkuara.” Kjo u pasua nga një alarm kërcënimi nga Qendra Kombëtare e Sigurisë Kibernetike në Mbretërinë e Bashkuar (NCSC), duke theksuar gjithashtu kërcënimin e përshkallëzuar që buron nga sulmet kibernetike nga aktorët e kërcënimit të sponsorizuar nga shteti kundër Infrastrukturës Kombëtare Kritike të Mbretërisë së Bashkuar.
Sulmet kundër zinxhirëve tanë të furnizimit dixhital janë në rritje
Ndërsa vëmendja e medias është përqendruar në fushatat e dezinformimit të sponsorizuara nga shteti dhe në shënjestrimin e institucioneve tona demokratike, sulmet kundër zinxhirëve të furnizimit dixhital – të përbërë nga të gjithë furnizuesit e jashtëm, partnerët dhe ofruesit e shërbimeve për qeveritë tona dhe operatorët e infrastrukturës kritike kombëtare – përbëjnë një situatë më pak të dukshme. por një kërcënim shumë domethënës.
Agjencia e Bashkimit Evropian për Sigurinë Kibernetike (ENISA) parashikon që deri në vitin 2030 ‘Kompromisi i Zinxhirit të Furnizimit të Varësive të Softuerit’ do të bëhet kërcënimi kryesor kibernetik me të cilin përballen organizatat, ndërsa Qendra e Burimeve të Vjedhjes së Identitetit raportoi në Raportin e tyre Vjetor të Shkeljes së të Dhënave 2023 se numri i organizatave të prekura nga sulmet e zinxhirit të furnizimit është rritur me më shumë se 2600 pikë përqindjeje vetëm gjatë pesë viteve të fundit.
Pasojat e mundshme nga sulmet e zinxhirit të furnizimit mund të jenë të mëdha dhe mund të kërcënojnë sektorë të tërë të ekonomisë, të krijojnë krizën e ardhshme financiare apo edhe të minojnë sigurinë kombëtare, siç theksojnë shembujt e mëposhtëm.
Kohët e fundit doli se hakerët, të dyshuar si të lidhur me autoritetet shtetërore kineze, shkelën një ofrues të listës së pagave në Ministrinë e Mbrojtjes së Mbretërisë së Bashkuar, duke ekspozuar emrat, detajet bankare dhe adresat e 270,000 anëtarëve aktualë dhe të mëparshëm të forcave të mbrojtjes së Mbretërisë së Bashkuar. Ndërkohë, në qershor, Qendra Kombëtare Holandeze e Sigurisë Kibernetike njoftoi se hakerat e lidhur me Kinën kishin “fituar akses në të paktën 20,000 sisteme FortiGate në mbarë botën brenda pak muajsh në 2022 dhe 2023” dhe se objektivat “përfshijnë dhjetëra qeveri (perëndimore). organizatat ndërkombëtare dhe një numër i madh kompanish në industrinë e mbrojtjes”. Dhe së fundmi, NCSC e Mbretërisë së Bashkuar dhe aleatët e saj Five Eyes lëshuan një alarm tjetër kërcënimi në lidhje me një botnet të përbërë nga mbi 260,000 pajisje të komprometuara në mbarë botën, që besohet se menaxhohen nga një kompani në Kinë me lidhje me qeverinë që përdorej nga aktori kinez i kërcënimit Flax Typhoon. për të ndërhyrë në infrastrukturën kritike, “kryesisht në Sektorët e Komunikimeve, Energjisë, Sistemeve të Transportit dhe Sistemeve të Ujit dhe Ujërave të Zeza”.
Por këto janë vetëm disa nga shembujt më të fundit. Fushata SolarWinds në vitin 2020, e konsideruar nga shumë ekspertë kryesorë si sulmi më i madh kibernetik i kryer deri më tani, është një rast i tillë. SolarWinds është ofruesi i softuerit të menaxhimit dhe monitorimit të IT Orion, i përdorur nga mijëra klientë të qeverisë dhe sektorit privat në mbarë botën. Vetë natyra e një mjeti si ky është se ai duhet të integrohet thellësisht në sistemet dhe proceset operacionale të organizatave që e përdorin atë, duke pasur kështu akses në informacione jashtëzakonisht të ndjeshme, duke përfshirë regjistrin e sistemit dhe të dhënat e performancës. Hakerët, që besohet të jenë të lidhur me shërbimin e huaj të inteligjencës ruse SVR, arritën të fusin kodin keqdashës në një përditësim të softuerit Orion. Ndërsa klientët përditësonin softuerin e tyre, ata padashur e instaluan këtë kod keqdashës në mjediset e tyre të TI-së, duke krijuar një derë të pasme përmes së cilës sulmuesit mund të hynin drejtpërdrejt në sistemet dhe të dhënat e klientëve të SolarWind, në atë që njihet si një sulm në vazhdim.
Pasojat nga ky sulm i zinxhirit të furnizimit ishin të mëdha. Rreth 18,000 klientë SolarWind dyshohet se instaluan përditësimin e komprometuar të softuerit, duke prekur shumë, duke përfshirë agjencitë federale të SHBA si Homeland Security, Departamenti i Shtetit dhe Thesari, si dhe gjigantët e teknologjisë si Microsoft, Intel dhe CISCO.
Pse sulmet e zinxhirit të furnizimit po rriten
Ka dy arsye kryesore për rritjen e sulmeve në zinxhirët e furnizimit. E para është më shumë kontraktimi i funksioneve shpesh kritike të biznesit tek palët e treta në procesin e përpjekjeve të vazhdueshme për dixhitalizim. Arsyeja e dytë është se mbrojtja e sigurisë kibernetike e organizatave individuale, veçanërisht ato që operojnë në infrastrukturën kombëtare kritike dhe në sektorë shumë të rregulluar në përgjithësi, si dhe ato të organizatave të sigurisë kombëtare, janë në fakt mjaft të forta. Kjo do të thotë se sulmi direkt i këtyre organizatave është bërë shumë më i vështirë, duke i shtyrë sulmuesit të kërkojnë pika më të lehta hyrjeje për të hyrë në të dhënat dhe sistemet e objektivave të tyre të synuar.
Këto lidhje të dobëta gjenden shpesh në rrjetet e gjera të organizatave të furnitorëve dhe partnerëve të biznesit, softueri ose pajisja e të cilave ose janë thellësisht të integruara në sistemet dhe proceset e tyre të brendshme, ose që trajtojnë të dhëna të ndjeshme, duke përfshirë të dhënat e punonjësve, në emër të tyre nga jashtë. Ato mund të variojnë nga lista e pagave të jashtme, shërbimet ligjore dhe pensionale deri te mjetet e produktivitetit dhe bashkëpunimit, ofruesit e reve kompjuterike ose zgjidhjet e sigurisë kibernetike, për të përmendur vetëm disa, dhe të cilat në total përbëjnë zinxhirët tanë të furnizimit dixhital. Këto marrëdhënie të kontraktimit kanë krijuar një grup kompleks varësish dhe kanë paraqitur dobësi që sulmuesit po i shfrytëzojnë gjithnjë e më shumë.
Megjithatë, zinxhiri nuk ndalet me këta të ashtuquajtur furnizues të palëve të treta ose të drejtpërdrejta. Ata, nga ana tjetër, varen nga një rrjet shpesh qindra organizatash të tjera për ofrimin e shërbimeve të tyre, dhe lista vazhdon. Kur aktori rus i kërcënimit ClOP shfrytëzoi dobësitë e MOVEit Transfer në vitin 2023, për shembull, shumë nga mijëra viktima të profilit të lartë nuk e përdorën as vetë MOVEit Transfer. Ata u ndikuan (d.m.th. të dhënat e tyre ose të klientëve të tyre u ekfiltruan) përmes furnitorëve si softueri i zgjidhjeve të HR dhe pagave Zellis ose PBI Research Services, një burim informacioni kërkimor i përdorur gjerësisht në industrinë financiare, të cilët po përdornin MOVEit Transfer për të përpunuar klientët e tyre. të dhëna.
Ne kemi nevojë për një qasje të re
Duke pasur parasysh këto rreziqe në rritje, çfarë mund të bëjnë Aleatët e NATO-s dhe Aleanca në tërësi për të forcuar sigurinë kundër sulmeve të zinxhirit të furnizimit në shkallë të gjerë?
Një nga problemet kryesore me rreziqet e zinxhirit të furnizimit është përqendrimi në masat mbrojtëse të sigurisë kibernetike të organizatave individuale. Megjithatë, për të arritur një siguri domethënëse të zinxhirit të furnizimit, ne kemi nevojë për një qasje të re të bazuar në bashkëpunim të zgjeruar. Qeveria e Mbretërisë së Bashkuar, për shembull, ka ndërmarrë tashmë hapat e parë me qasjen Defend As One, të përshkruar në Strategjinë e saj të fundit të Sigurisë Kibernetike të Qeverisë. Kjo qasje parashikon shfrytëzimin e “vlerës së ndarjes së të dhënave të sigurisë kibernetike, ekspertizës dhe aftësive nëpër organizatat e saj (sektori publik në Mbretërinë e Bashkuar) për të paraqitur një forcë mbrojtëse në mënyrë disproporcionale më të fuqishme se shuma e pjesëve të saj”.
Ky është një hap në drejtimin e duhur që pranon në mënyrë implicite pengesën më të madhe për sigurinë kibernetike të përmirësuar, përkatësisht qasjen silo, “çdo burrë dhe grua për veten e tyre”. Por ne duhet të shkojmë më tej. Organizatat janë të lidhura, duan apo jo, dhe përgjegjësia për parandalimin e sulmeve kibernetike duhet të ndahet nga i gjithë ekosistemi. Askush nuk mund ta bëjë vetëm. Rregullatorët gjithashtu kanë një rol të rëndësishëm për të luajtur. Ne duhet të largohemi nga një kulturë sigurie, kërcënimesh dhe gjobash, në një kulturë ku organizatat që mbështesin infrastrukturën tonë kritike kombëtare, agjencitë e sigurisë kombëtare, partnerët e sektorit privat dhe të gjithë furnizuesit kritikë të bashkohen për t’u mbrojtur bashkërisht kundër sulmeve të zinxhirit të furnizimit dhe për të forcuar qëndrueshmërinë e përgjithshme të gjithë ekosistemin.
Kjo mund të marrë formën e qendrave virtuale të operacioneve të sigurisë kombëtare (SOC) për zinxhirin e furnizimit, të modeluara lirshëm në Qendrën e Sigurisë Kibernetike të Qeverisë së Mbretërisë së Bashkuar (Cyber GSeC), Qendrën e Koordinimit Kibernetik të Qeverisë (GCCC) ose operacionet gjithëpërfshirëse të sigurisë të udhëhequra nga NCSC në Mbretërinë e Bashkuar qendrat (SOC). Brenda këtyre SOC-ve për zinxhirin e furnizimit, organizatat me operacione të mëdha sigurie dhe ekspertizë të fortë në gjuetinë, zbulimin dhe reagimin ndaj sulmeve, për shembull, duhet të mblidhen rreth partnerëve dhe furnitorëve të tyre më të vegjël për të mbrojtur të gjithë sistemin, duke i mbështetur ata me ekspertizën dhe burimet e tyre të avancuara. .
Në kontekstin e një bashkëpunimi më të gjerë në NATO, këto SOC kombëtare mund të punojnë më pas në lidhje me Qendrën e re të Mbrojtjes Kibernetike të Integruar të NATO-s (NICC) dhe Kapacitetin e saj Mbështetës të Incidentit Kibernetik Virtual (VCISC), të cilat janë shtesa të vlefshme për mbrojtjen e përgjithshme kibernetike të NATO-s. aftësitë dhe do të sigurojë akses më të gatshëm dhe të barabartë për të gjithë anëtarët e Aleancës në inteligjencën e përditësuar të kërcënimeve dhe, më e rëndësishmja, mbështetje operacionale dhe teknike gjatë incidenteve.
NICC u ra dakord vetëm kohët e fundit në Samitin e NATO-s 2024 në Uashington, DC, dhe do të vendoset në selinë strategjike ushtarake të NATO-s në SHAPE në Belgjikë. Detyra e saj do të jetë “mbrojtja e NATO-s dhe rrjeteve aleate dhe përdorimi i hapësirës kibernetike si një fushë operacionale” dhe “të informojë komandantët ushtarakë të NATO-s mbi kërcënimet dhe dobësitë e mundshme në hapësirën kibernetike, duke përfshirë infrastrukturën kritike civile në pronësi private të nevojshme për të mbështetur aktivitetet ushtarake”. . Kështu, Qendra e re do të fokusohet në sigurimin e inteligjencës përkatëse të kërcënimit për të përmirësuar vendimmarrjen ushtarake, si dhe për të “rritur ndërgjegjësimin tonë për situatën në hapësirën kibernetike dhe për të rritur qëndrueshmërinë dhe mbrojtjen kolektive”.
Nga ana tjetër, VCISC, e cila u lançua në Samitin e NATO-s 2023 në Vilnius, do të përqendrohet në përmirësimin e aftësive të reagimit ndaj incidenteve të Aleatëve të NATO-s duke mbështetur “përpjekjet kombëtare zbutëse në përgjigje të aktiviteteve të rëndësishme kibernetike keqdashëse”. Aftësia e re do t’i lejojë aleatët të kërkojnë mbështetje dhe të marrin ndihmë kibernetike në një krizë pa u thirrur në Nenin 5, por gjithashtu të kenë akses të shpejtë në ekspertizën teknike, ndihmën dhe shkëmbimin e informacionit gjatë incidenteve.
Këto aftësi të reja të NATO-s mund të rrisin ndjeshëm ekspertizën dhe burimet për SOC-të kombëtare të propozuara për zinxhirin e furnizimit, ndërkohë që vendosin bazën për një SOC potenciale të integruar në të ardhmen dhe në të gjithë NATO-n për zinxhirin e furnizimit.
Ngjashëm me mënyrën se si NATO ka arritur një qasje “një për të gjithë, të gjithë për një” për të mbrojtur sigurinë e përbashkët të Aleancës, kështu duhet që Aleanca dhe institucionet e sigurisë kombëtare të anëtarëve të saj, rregullatorët, organizatat dhe furnizuesit e tyre të bashkohen për të adresuar çështjen reale dhe të afërt. kërcënimi i paraqitur nga rritja e përhapur, por shpeshherë e errët, e sulmeve kundër zinxhirëve tanë të furnizimit dixhital./nato.int
Chris Luenen, Zëvendës Drejtor dhe Shef i Programit të Gjeopolitikës, Instituti i Politikave Globale (GPI London) LinkedIn Twitter: @ChrisLuenen
Fraksion.com