16.07.2024
Studia
Technologia sprawia, że przemysł spożywczy jest bardziej podatny na zagrożenia cybernetyczne
Rosnące wykorzystanie technologii w łańcuchu dostaw żywności oznacza, że sektor ten jest bardziej narażony na naruszenia cyberbezpieczeństwa.
W zeszłym miesiącu gigant owocowo-warzywny Dole ogłosił, że padł ofiarą ataku ransomware. Firma twierdziła, że wpływ na jej działalność był „ograniczony”, ale poinformowano, że naruszenie cyberbezpieczeństwa doprowadziło do niedoborów niektórych produktów.
„To było druzgocące dla działu świeżych owoców i warzyw, a w szczególności dla naszej chilijskiej działalności” – powiedział analitykom i inwestorom dyrektor generalny Rory Byrne podczas ogłoszenia wyników finansowych spółki za 2022 r. w zeszłym tygodniu. „Pozytywnym akcentem jest to, że szybko powstrzymaliśmy zagrożenie i zaangażowaliśmy wiodących zewnętrznych ekspertów ds. cyberbezpieczeństwa i będziemy współpracować z ich wewnętrznymi zespołami, aby naprawić problem i chronić ich systemy”.
Niestety dla branży spożywczej atak nie był odosobnionym incydentem. W 2022 r. kanadyjska grupa zajmująca się pakowaniem mięsa Maple Leaf Foods doświadczyła tego, co firma określiła jako „wszechobecne” naruszenie.
Michael McCain, prezes wykonawczy i dyrektor generalny grupy, powiedział w zeszłym tygodniu, że incydent był „podstępny i wpłynął na naszą działalność na wiele sposobów”.
Dodał: „W czasie rzeczywistym musieliśmy przenieść działalność z wysoce wydajnej sieci operacji, wysoce zautomatyzowanej od zamówień po planowanie produkcji, kompletację zapasów, wpływy i płatności, do firmy, która musiała być prowadzona całkowicie ręcznie”.
W tym samym roku, po drugiej stronie Atlantyku w Niemczech, Apetito, niemiecki dostawca mrożonek, odkrył cyberatak na swoje operacje, a brytyjska firma KP Snacks poinformowała, że również została dotknięta oprogramowaniem ransomware.
W 2021 r. gigant mięsny JBS padł ofiarą ataku ransomware, który zakłócił działalność firmy w Ameryce Północnej i Australii. Później okazało się, że JBS zapłacił gangowi 11 milionów dolarów okupu za uwolnienie plików.
A to tylko ataki, o których wiemy. Według Malwarebytes liczba cyberataków na sektor spożywczy i rolniczy wzrosła o 607% w 2020 roku. W 2021 r. FBI opublikowało alert dla sektora prywatnego ostrzegający sektor spożywczy przed zagrożeniami związanymi z atakami ransomware, a w ostatnim kwartale ubiegłego roku amerykańska firma Dragos zajmująca się cyberbezpieczeństwem poinformowała, że sektor żywności i napojów padł ofiarą większej liczby ataków niż jakikolwiek inny sektor.
Zagrożenie cyberbezpieczeństwem dla branży spożywczej rośnie
Ocena poziomu zagrożenia dla firm spożywczych ze strony cyberprzestępców nie jest łatwa. Ze względu na delikatny charakter tematu i potencjalne szkody (zarówno finansowe, jak i reputacyjne), jakie mogą spowodować cyberataki, kadra kierownicza niechętnie dyskutuje na ten temat.
Jak wyjaśnia John Hoffman, starszy pracownik University of Minnesota’s Institute for Food Safety and Defence: „Niewiele z tych ataków jest upublicznianych ze względu na obawy o ochronę marki. Ataki takie jak ten przeciwko JBS są wyjątkiem. W tym przypadku przerwy w dostawie były tak znaczące, że nie można było zaprzeczyć temu wydarzeniu”.
Według Sue Newton, szefowej brytyjskiego działu żywności i napojów w WTW Insurance, zagrożenie cyberatakami dla przemysłu spożywczego nie jest nowe, ale rośnie, ewoluuje i staje się coraz poważniejsze.
„Byliśmy świadkami znacznych strat poniesionych przez firmy z tego sektora w wyniku ataków ransomware, w tym kilku globalnych producentów żywności, a jedna z marek musiała zapłacić wielomilionowy okup, aby odzyskać sprawność działania” – mówi Newton.
Zagrożenie zostało spotęgowane przez pandemię, w wyniku której wiele firm natychmiast przeszło na pracę zdalną i hybrydową, nie mając czasu na wdrożenie odpowiednich protokołów i systemów bezpieczeństwa.
Jeszcze przed Covid-19 przemysł spożywczy zmierzał w kierunku większego wykorzystania automatyzacji, robotyki, sztucznej inteligencji i Internetu rzeczy (IoT) w postaci czujników w fabrykach. Pandemia tylko przyspieszyła ten impuls, a tym samym zwiększyła poziom ryzyka, ponieważ wprowadzenie tych technologii stworzyło wiele luk w zabezpieczeniach, które wcześniej nie znajdowały się na radarze bezpieczeństwa firm spożywczych.
„Problem z branżą spożywczą polega na tym, że jest ona postrzegana jako bardziej podatna na zagrożenia, ponieważ technologia operacyjna leżąca u podstaw produkcji wzrosła, ale środki cyberbezpieczeństwa dla firm w tym sektorze nie zostały odpowiednio uwzględnione, więc wiele firm musi teraz nadrobić zaległości” – wyjaśnia Newton.
„Podczas gdy inne sektory zwiększyły swoje wysiłki w zakresie cyberbezpieczeństwa w ciągu ostatnich kilku lat, głównie ze względu na regulacje, producenci żywności i napojów nie podlegali tym samym wymogom, co doprowadziło do stosunkowo niższych inwestycji w cyberbezpieczeństwo w niektórych firmach, co czyni je łatwymi celami dla cyberprzestępców”.
Hoffman twierdzi, że część problemu polega na tym, że rząd nie skupił się na ograniczaniu zagrożeń cybernetycznych w sektorze spożywczym i rolnym, w porównaniu do uwagi poświęcanej cyberbezpieczeństwu w sektorach finansowym, chemicznym, energetycznym i transportowym. Firmy spożywcze są zatem uważane za bardziej miękkie cele, dodaje.
„Ponadto cyberprzestępcy zdali sobie sprawę, że wiele małych i średnich firm z branży spożywczej i rolniczej nie posiada wewnętrznej wiedzy informatycznej, korzysta ze starszych systemów i jest połączonych przez Internet z większymi, zamożniejszymi firmami w łańcuchu dostaw. Stanowią więc bramę do systemów innych firm”.
Jest to pogląd podzielany przez Jasona Vandenberga, szefa sprzedaży cyberbezpieczeństwa w amerykańskim dostawcy usług automatyki Rockwell Automation. Vandenberg twierdzi, że zagrożenie cyberbezpieczeństwem od pewnego czasu znajduje się na radarze dużych firm spożywczych, ale mniejsze grupy spożywcze i dostawcy dla większych grup mają trudności z pogodzeniem się z tym problemem.
„Zdają sobie sprawę, że tylko dlatego, że są małą regionalną firmą spożywczą z czterema lub pięcioma zakładami w porównaniu z dużym międzynarodowym konglomeratem ze 100 zakładami, nie są mniejszym celem” – mówi Vandenberg. „W rzeczywistości twierdzilibyśmy, że obserwujemy więcej [cyberataków] wymierzonych w te małe i średnie firmy, ponieważ nie mają one takiego samego poziomu budżetów jak duże firmy, a ich starsze systemy są takie same.
Cyfryzacja stwarza podatność na zagrożenia
A zwiększone wykorzystanie automatyzacji w obszarach takich jak przetwórstwo żywności i rolnictwo precyzyjne tylko zaostrzyło ten problem.
„Konsekwencją [dążenia do automatyzacji] jest to, że wiele cyber-kontrolowanych/sterowanych komponentów to w rzeczywistości starsze systemy, które nadal opierają się na przestarzałym systemie operacyjnym, ale nadal działają dość niezawodnie, nawet jeśli są podatne na exploity i ataki” – mówi Hoffman.
„Zmiana/modernizacja ich wszystkich w tym sektorze będzie dużym wyzwaniem. Automatyzacja naprawdę rośnie, ponieważ koszty pracy rosną i istnieje wiele problemów związanych z personelem. Coraz więcej funkcji jest również automatyzowanych w miarę doskonalenia robotyki, a wysiłki na rzecz zmniejszenia ilości odpadów, obniżenia kosztów, a nawet ograniczenia wpływu na klimat, takiego jak zmniejszenie zużycia wody i emisji, stają się coraz bardziej priorytetowe”.
Atakujący atakują sektor spożywczy, począwszy od zakłócania łańcucha dostaw i wdrażania oprogramowania ransomware, a skończywszy na kradzieży własności intelektualnej.
„Wiemy, że w Chinach są cyberprzestępcy, którzy koncentrują się na własności intelektualnej, aby dowiedzieć się, kto sprzedaje co komu, za ile i skąd” – mówi Hoffman. „Daje im to cele do wykorzystania, a nawet najbardziej lukratywną amerykańską infrastrukturę spożywczą i rolniczą do kupienia”.
Według Newtona większość firm spożywczych jest świadoma zagrożeń związanych z cyberatakami, ale niekoniecznie ma dostęp do zasobów lub zysków potrzebnych do zapobiegania incydentom związanym z cyberbezpieczeństwem.
„W przeszłości linia produkcyjna była w dużej mierze niezależna od środowiska IT, więc w przypadku jakiejkolwiek złośliwej aktywności produkcja mogła być kontynuowana. A ponieważ w branży istniał mniejszy nadzór regulacyjny nad cyberbezpieczeństwem, istniała mniejsza potrzeba poprawy bezpieczeństwa i ograniczania ryzyka.
„Ponadto, w miarę jak technologia staje się coraz bardziej zintegrowana ze środowiskiem produkcyjnym, w niektórych przypadkach te nowe technologie i środowiska operacyjne są wdrażane, obsługiwane i zarządzane niekoniecznie przez ekspertów ds. cyberbezpieczeństwa, ale przez specjalistów ds. produkcji lub IT, którzy nie mają specjalistycznej wiedzy z zakresu cyberbezpieczeństwa w firmie, co oznacza, że nie podejmują odpowiednich środków, co czyni je bardziej podatnymi na ataki. Wyzwaniem jest również przyciągnięcie i zatrzymanie specjalistów ds. cyberbezpieczeństwa na dzisiejszym wysoce konkurencyjnym rynku”.
Jest to wyzwanie, któremu wiele firm spożywczych stara się sprostać. Badanie przeprowadzone w ubiegłym roku przez amerykańską organizację handlową Food Industry Association wykazało, że 85% firm spożywczych zwiększyło swoje budżety na cyberbezpieczeństwo w odpowiedzi na rosnące zagrożenie.
„Istnieje jednak pole do poprawy, a wiele firm może nie robić wystarczająco dużo, aby chronić się przed cyberzagrożeniami” – mówi Christine Demoranville, CEO i założycielka AnzenSage, niedawno uruchomionej firmy konsultingowej w zakresie cyberbezpieczeństwa w USA.
Według Demoranville, producenci żywności powinni wziąć pod uwagę kilka czynników przy wdrażaniu strategii ograniczania ryzyka cybernetycznego. „Przede wszystkim muszą upewnić się, że posiadają tradycyjne, solidne mechanizmy kontroli cyberbezpieczeństwa, takie jak zapory ogniowe, oprogramowanie antywirusowe i systemy wykrywania włamań” – mówi.
„Powinni również regularnie aktualizować i łatać swoje oprogramowanie, aby bezpiecznie eliminować znane luki w zabezpieczeniach w swoich środowiskach produkcyjnych. Ponadto producenci żywności powinni upewnić się, że ich pracownicy są przeszkoleni w zakresie najlepszych praktyk cyberbezpieczeństwa i są świadomi zagrożeń związanych z wiadomościami phishingowymi i innymi taktykami socjotechnicznymi. Wreszcie, producenci żywności potrzebują kompleksowych planów reagowania na incydenty i ciągłości działania, aby szybko i skutecznie reagować na cyberataki”.
Niezbędne jest również ciągłe monitorowanie zagrożenia atakami cybernetycznymi. Według Colina Tankarda, dyrektora zarządzającego brytyjskiej firmy Digital Pathways, włamanie zajmuje kilka minut, ale jego wykrycie może zająć miesiące.
„Tam, gdzie pracowaliśmy ze sprzedawcami detalicznymi, widzimy, że niektóre firmy nie mają pewnych kontroli i kontroli w celu śledzenia nietypowych zachowań” – mówi Tankard. „To prawie jak refleksja po fakcie. Ale organizacje naprawdę muszą mieć oko na to, co się dzieje”.
„Sprowadza się to do przeglądania logów. Mogą to być logi z serwerów, ze strony internetowej, z systemu CRM, z zapór sieciowych, aby sprawdzić, czy dzieje się coś niezwykłego. A ponieważ do firmy napływa wiele informacji, musisz naprawdę umieścić te informacje w jakimś systemie SEIM [zarządzanie bezpieczeństwem informacji w przedsiębiorstwie], który umieści wszystko we właściwych kategoriach, abyś mógł zobaczyć wzór „.
Nie kapituluj
Jeśli firma padnie ofiarą ataku, eksperci ds. cyberbezpieczeństwa twierdzą, że firmy spożywcze nie powinny kapitulować przed żądaniami hakerów i płacić okupu.
Nie widziałemjeszcze firmy, która zapłaciłaby okup i wyszła z tego cało” – mówi JasonVandenberg, szef sprzedaży cyberbezpieczeństwa w amerykańskim dostawcy usług automatyzacji Rockwell Automation.
Jak ujął to Tankard: „Jeśli wiedzą, że zapłaciłeś raz, wiedzą, że zapłacisz ponownie, więc po prostu wrócą i zapukają do twoich drzwi. Nawet jeśli zapłacisz, nigdy nie masz pewności, że wszystkie złe rzeczy zniknęły”.
Vandenberg z Rockwell zgadza się. „Nie widziałem jeszcze firmy, która zapłaciłaby okup i wyszła na plus. Widzimy firmy, które nadal domagają się opłat prawnych trzy do pięciu lat po ataku, ponieważ są teraz pozywane przez kogoś, kogo dane mogły zostać ujawnione”.
Rockwell zauważył rosnącą niechęć wśród firm do płacenia okupów hakerom, a niektóre rządy na całym świecie podobno rozważają wprowadzenie całkowitych zakazów płatności za oprogramowanie ransomware, powiedział.
Jest to zagrożenie, które nie zniknie w najbliższym czasie, w związku z czym firmy z branży spożywczej, które jeszcze nie zaostrzyły swoich protokołów cyberbezpieczeństwa, muszą zacząć traktować tę kwestię poważnie lub zaryzykować padnięcie ofiarą ataku, który może być niszczycielski, ostrzega Demoranville.
„Zagrożenie cyberatakami dla producentów żywności jest palącą kwestią, którą należy potraktować poważnie” – mówi. „Przemysł spożywczy stoi w obliczu krytycznych sytuacji ze względu na rosnącą cyfryzację sektora, która rozszerzyła powierzchnię ataku dla cyberprzestępców i stworzyła im więcej możliwości wykorzystania słabych punktów. Podczas gdy wielu producentów żywności podejmuje kroki w celu zapewnienia sobie ochrony, istnieje pole do poprawy”.
Przynajmniej dla firm działających w Ameryce Północnej, z ogłoszenia wyników Dole w zeszłym tygodniu wyłoniła się przekonująca linia dotycząca kosztów, a Byrne przyznał, że firma nie spodziewa się odzyskania utraconej sprzedaży, w tym poprzez ubezpieczenie. „Myślę, że prosta odpowiedź na to pytanie brzmi: nie” – powiedział analitykowi. „Ubezpieczenie jest zaporowe – obecnie w Ameryce Północnej nie można uzyskać ubezpieczenia na cyberbezpieczeństwo”.