Ataki na łańcuchy dostaw systemu rosną w siłę. Coraz więcej legalnych aplikacji staje się narzędziem cyberprzestępców. Eksperci z F5, międzynarodowej firmy specjalizującej się w rozwiązaniach z zakresu bezpieczeństwa IT, radzą: nie ufaj, weryfikuj każdy komponent.
Coraz więcej ataków na łańcuchy dostaw systemu ujawnia, jak kruche są współczesne systemy IT. Tylko w 2024 roku brytyjskie NCSC odnotowało prawie 2000 cyberataków, z czego 12 uznano za „wysoce poważne”. Według ENISA, do 2030 roku ataki tego typu będą jednym z głównych zagrożeń dla Unii Europejskiej.
Dawniej cyberprzestępcy wykorzystywali głównie luki w systemach lub nieuwagę użytkowników. Dziś coraz częściej atakują przez zaufane źródła – legalne aktualizacje czy popularne biblioteki open source. Jak tłumaczy Mariusz Sawczuk z F5: „To jak ciasto od znajomego – nie spodziewasz się, iż może być zatrute. Zaufanie do dostawców systemu staje się śmiertelnie niebezpieczne”.
Atak na łańcuch dostaw polega na wprowadzeniu złośliwego kodu do komponentu, który jest częścią większej aplikacji. Użytkownik instaluje legalne oprogramowanie, nieświadomie uruchamiając „trojana”. Przykładem jest atak na SolarWinds w 2020 roku, który dotknął agencje rządowe USA i firmy prywatne. W 2021 roku ransomware rozprzestrzeniony przez Kaseya sparaliżował setki firm, w tym sieć sklepów Coop w Szwecji.
Skala problemu rośnie. Cybersecurity Ventures szacuje, iż w 2025 roku globalny koszt ataków na łańcuchy dostaw przekroczy 60 miliardów dolarów, a do 2031 roku sięgnie 138 miliardów. Brytyjskie National Audit Office ostrzega, iż ponad 58 krytycznych systemów IT rządu Wielkiej Brytanii ma poważne luki w zabezpieczeniach.
Eksperci wskazują, iż skuteczna obrona wymaga zmiany podejścia. Model Zero Trust zakłada, iż żadna część systemu nie jest domyślnie bezpieczna – każdy komponent i użytkownik musi być stale weryfikowany. najważniejsze są mechanizmy sandboxingu, segmentacja sieci, skanowanie kodu i audyty dostawców. „Zaufanie trzeba zdobywać codziennie. I to pod mikroskopem” – podkreśla Sawczuk.
