16.07.2024
Дослідження
Технології роблять харчову промисловість більш уразливою до загроз кібербезпеці
Зростаюче використання технологій у ланцюгах постачання продуктів харчування означає, що сектор більше схильний до ризику кіберзломів.
Минулого місяця фруктово-овочевий гігант Dole повідомив, що став жертвою атаки програм-вимагачів. Компанія стверджувала, що вплив на її діяльність був «обмеженим», але повідомлялося, що порушення кібербезпеки призвело до дефіциту деяких продуктів.
«Це було руйнівним для відділу свіжих фруктів і овочів і нашого чилійського бізнесу зокрема», — сказав генеральний директор Рорі Бірн аналітикам та інвесторам під час оголошення фінансових результатів компанії за 2022 рік минулого тижня. «Що позитивно, ми швидко стримали загрозу та залучили провідних сторонніх експертів з кібербезпеки, і ми працюватимемо в партнерстві з їхніми внутрішніми командами, щоб усунути проблему та захистити системи».
На жаль для харчової промисловості, напад не був поодиноким випадком. У 2022 році канадська м’ясопереробна група Maple Leaf Foods постраждала від, за словами компанії, «всеосяжного» порушення.
Майкл Маккейн, виконавчий голова групи та генеральний директор, заявив минулого тижня, що інцидент був «підступним і вплинув на наш бізнес різними способами».
Він додав: «У режимі реального часу нам довелося перевести бізнес із високоефективної мережі операцій, високоавтоматизовану від замовлень до планування виробництва, квитанцій про підбір запасів і платежів, до бізнесу, який мав працювати повністю вручну».
Того ж року через Атлантику в Німеччині Apetito, німецький постачальник заморожених продуктів, виявив кібератаку на свою діяльність , а британська KP Snacks заявила, що на неї також вплинуло програмне забезпечення-вимагач .
У 2021 році м’ясний гігант JBS став жертвою атаки програм-вимагачів, яка порушила роботу компанії в Північній Америці та Австралії . Пізніше з’ясувалося, що JBS заплатила банді викуп у розмірі 11 мільйонів доларів США за оприлюднення своїх файлів.
І це лише ті напади, про які ми знаємо. За даними Malwarebytes, у 2020 році кількість кібератак на харчовий і сільськогосподарський сектор зросла на 607%. У 2021 році ФБР опублікувало повідомлення приватної індустрії, попереджаючи харчовий сектор про небезпеку атак програм-вимагачів, а в останньому кварталі минулого року американська компанія з кібербезпеки Dragos повідомила, що сектор харчових продуктів і напоїв став жертвою більшої кількості атак, ніж будь-який інший сектор.
Загроза кібербезпеці харчової промисловості зростає
Оцінити рівень загрози харчовим компаніям з боку кіберзлочинців нелегко. Через делікатний характер теми та потенційну шкоду (як фінансову, так і репутаційну) кібератаки можуть спричинити, керівники не люблять обговорювати цю тему.
Як пояснює Джон Хоффман, старший науковий співробітник Інституту захисту харчових продуктів і оборони при Університеті Міннесоти: «Небагато таких атак оприлюднюються через проблеми захисту бренду. Атаки, подібні до тієї, що спрямована на JBS, є винятком. У цьому випадку відключення були настільки значними, що подію неможливо було заперечити».
За словами Сью Ньютон, керівника відділу харчових продуктів і напоїв у Великій Британії у страховій компанії WTW, загроза кібератаки для харчової промисловості не є новою, але вона зростає, розвивається та стає все більш серйозною.
«Ми зазнали значних збитків компаній у секторі від атак програм-вимагачів, зокрема кількох світових виробників харчових продуктів, у результаті чого одному бренду довелося заплатити багатомільйонний викуп, щоб відновити роботу», — каже Ньютон.
Загроза зросла через пандемію, у результаті якої багато компаній миттєво перейшли на віддалену та гібридну роботу, не встигнувши запровадити відповідні протоколи та системи безпеки.
До Covid-19 харчова промисловість уже рухалася до більшого використання автоматизації, робототехніки, штучного інтелекту та Інтернету речей (IoT) у формі датчиків на заводах. Пандемія лише прискорила цей поштовх і, у свою чергу, підвищила рівень ризику, оскільки впровадження цих технологій створило багато вразливостей, які раніше не були на радарі безпеки харчових компаній.
«Проблема харчової промисловості та індустрії напоїв полягає в тому, що вони вважаються більш уразливими, тому що операційні технології, що лежать в основі виробництва, зросли, але заходи кібербезпеки для підприємств у цьому секторі не були враховані належним чином, тому багатьом компаніям зараз доводиться наздоганяти, – пояснює Ньютон.
«У той час як інші сектори активізували свою діяльність у сфері кібербезпеки протягом останніх кількох років, головним чином завдяки регулюванню, виробники харчових продуктів і напоїв не керувалися тими самими вимогами, що призвело до порівняно нижчих капіталовкладень у кібербезпеку в деяких підприємствах, роблячи їх легкими цілмяи для кіберзлочинців».
Хоффман каже, що частково проблема полягає в тому, що уряд не зосередився на зниженні кіберризиків, що загрожують продовольчому та сільськогосподарському секторам, порівняно з увагою, яка приділяється кібербезпеці у фінансовому, хімічному, енергетичному та транспортному секторах. Тому харчові компанії вважаються м’якшими цілями, додає він.
«Крім того, кібершахраї зрозуміли, що багатьом невеликим і середнім харчовим і сільськогосподарським компаніям бракує внутрішнього досвіду в області ІТ, вони використовують старіші системи та підключені через Інтернет до більших, заможніших фірм у ланцюгах постачання. Отже, вони надають шлях до систем інших фірм».
Таку точку зору поділяє Джейсон Ванденберг, керівник відділу продажів послуг кібербезпеки американського постачальника послуг автоматизації Rockwell Automation . Ванденберг каже, що загроза кібербезпеці була на радарі на рівні правління великих харчових компаній протягом деякого часу, але менші харчові групи та постачальники великих груп намагаються змиритися з проблемою.
«Вони усвідомлюють, що лише тому, що вони невелика регіональна компанія з виробництва продуктів харчування та напоїв із чотирма-п’ятьма заводами проти великого багатонаціонального конгломерату зі 100 заводами, вони є не меншою мішенню», — каже Ванденберг. «Насправді ми б стверджували, що те, що ми бачили, — це більше [кібератак], націлених на ці малі та середні компанії, оскільки вони не мають такого ж рівня бюджетів, як великі хлопці, і їхні застарілі системи такі ж.
Цифровізація створює вразливість
А збільшення використання автоматизації в таких сферах, як харчова промисловість і точне сільське господарство, лише посилило проблему.
«Наслідком [поштовху до автоматизації] є те, що багато кіберконтрольованих/керованих компонентів насправді є застарілими системами, які все ще покладаються на застарілу ОС, але все ще функціонують досить надійно, навіть якщо вони вразливі до експлуатації та атак», — говорить Хоффман.
«Зміна/модернізація їх усіх у секторі буде серйозною проблемою. І ця автоматизація справді зростає, оскільки зростає вартість робочої сили та постає велика кількість кадрових проблем. Більше функцій також автоматизується, оскільки робототехніка вдосконалюється, а зусилля щодо скорочення відходів, зниження витрат і навіть подолання кліматичних впливів, таких як скорочення використання води та викидів, стають більш пріоритетними».
Цілі зловмисників, націлених на харчовий сектор, варіюються від збоїв у ланцюзі поставок і розгортання програм-вимагачів до крадіжки IP.
«Ми знаємо, що в Китаї є кіберзлочинці, які зосереджуються на ІВ, щоб дізнатися, хто кому що продає, за скільки і звідки», — говорить Хоффман. «Це дає їм цілі для експлуатації або навіть найприбутковішу для закупівлі продовольчу та сільськогосподарську інфраструктуру США».
За словами Ньютона, більшість харчових компаній чітко усвідомлюють небезпеку кібератак, але не обов’язково мають доступ до потрібних ресурсів або прибутку, щоб запобігти інцидентам кібербезпеки.
«Раніше виробнича лінія була б значною мірою незалежною від ІТ-середовища, тому, якщо була якась шкідлива діяльність, виробництво могло продовжуватися. І оскільки регуляторний нагляд за кібербезпекою в галузі був меншим, стало менше необхідності покращувати безпеку та зменшувати ризики.
«Крім того, оскільки технології стають більш інтегрованими у виробниче середовище, у деяких випадках ці нові технології та операційні середовища впроваджуються, експлуатуються та керуються не обов’язково експертами з кібербезпеки, а фахівцями з виробництва або ІТ-службою, яка не володіє конкретно кібербезпека всередині бізнесу, що означає, що вони не вживають належних заходів, що робить їх більш вразливими до атак. Це також виклик залучення та утримання фахівців з кібербезпеки на нинішньому висококонкурентному ринку».
Це виклик, з яким намагаються впоратися багато харчових компаній. Опитування американської торгової організації Food Industry Association, проведене минулого року, показало, що 85% харчових компаній збільшили свої бюджети на кібербезпеку у відповідь на зростаючу загрозу.
«Однак є можливості для вдосконалення, і багато компаній, можливо, не роблять достатньо, щоб захистити себе від кіберзагроз», — каже Крістін Деморанвіль, генеральний директор і засновник AnzenSage, нещодавно відкритої консалтингової фірми з кібербезпеки в США.
За словами Деморанвіля, виробники харчових продуктів повинні враховувати кілька факторів при реалізації стратегії пом’якшення ризику кібератак. «Перш за все, вони повинні переконатися, що вони мають традиційні надійні засоби кібербезпеки, брандмауери, антивірусне програмне забезпечення та системи виявлення вторгнень», — каже вона.
«Вони також повинні регулярно оновлювати та виправляти своє програмне забезпечення, щоб безпечно усунути відомі вразливості у своїх виробничих середовищах. Крім того, виробники харчових продуктів повинні переконатися, що їхні працівники пройшли навчання найкращим практикам кібербезпеки та були обізнані про ризики, пов’язані з фішинговими електронними листами та іншими тактиками соціальної інженерії. Нарешті, виробникам харчових продуктів потрібна комплексна реакція на інциденти та плани забезпечення безперервності бізнесу, щоб швидко й ефективно реагувати на кібератаки».
Постійний моніторинг загрози атак на кібербезпеку також є життєво важливим. За словами Коліна Танкарда, керуючого директора британської компанії Digital Pathways, злам займає кілька хвилин, але для виявлення злому можуть знадобитися місяці.
«Там, де ми працювали з роздрібною торгівлею, ми бачимо деякі компанії, які не мають деяких засобів контролю та перевірок для відстеження незвичайної поведінки», — каже Танкард. Це майже як другорядна річ. Але організаціям дійсно потрібно стежити за тим, що відбувається.
«Це зводиться до перегляду ваших журналів. Це можуть бути журнали з серверів, з вашого веб-сайту, з вашої CRM-системи, з ваших брандмауерів, просто щоб побачити, чи не відбувається щось незвичайне. І оскільки в бізнес надходить багато інформації, вам потрібно дійсно помістити цю інформацію в певну систему SEIM [управління корпоративною інформацією про безпеку], яка розподілить усе за правильними категоріями, щоб ви могли побачити закономірність».
Не капітулюйте
Якщо компанія все ж стає жертвою атаки, експерти з кібербезпеки кажуть, що харчові компанії не повинні капітулювати перед вимогами хакерів і платити викуп.
Я ще не бачив, щоб компанія сплатила викуп і успішно вийшла вперед –Джейсон Ванденберг, керівник відділу продажів послуг з кібербезпеки американського постачальника послуг автоматизації Rockwell Automation.
Як каже Танкард: «Якщо вони знають, що ви заплатили один раз, вони знають, що заплатите знову, тому вони просто повернуться і постукають у ваші двері. Навіть якщо ви платите, ви ніколи не будете впевнені, що всі погані речі забрали».
Ванденберг з Роквелла погоджується. «Я ще не бачив, щоб компанія заплатила викуп і успішно вийшла вперед. Ми бачимо компанії, які все ще вимагають судових витрат через три-п’ять років після атаки, тому що тепер на них подає до суду хтось, чиї дані могли бути розкриті».
За його словами, Роквелл виявив зростаючу неприязнь компаній до виплати викупу хакерам, і деякі уряди в усьому світі, як повідомляється, розглядають можливість запровадити пряму заборону на здійснення платежів за програми-вимагачі.
Це загроза, яка не зникне найближчим часом, і, як наслідок, ті компанії в харчовій промисловості, які ще не нарощували свої протоколи кібербезпеки, повинні почати сприймати проблему серйозно, інакше вони ризикують стати жертвами напад, який може бути руйнівним, попереджає Деморанвіль.
«Загроза кібератак для виробників харчових продуктів є актуальною проблемою, яка вимагає серйозного ставлення», — каже вона. «Харчова промисловість стикається з критичними ситуаціями через посилення цифровізації сектора, що розширило поверхню атаки для кіберзлочинців і створило для них більше можливостей для використання вразливостей. Хоча багато виробників продуктів харчування вживають заходів, щоб захистити себе, є можливості для вдосконалення».
Принаймні для компаній, що працюють у Північній Америці, приваблива лінія щодо витрат випливла з оголошення результатів Dole минулого тижня, причому Бірн визнав, що компанія не очікує відшкодування втрачених продажів, у тому числі через страхування. «Я вважаю, що проста відповідь на це питання — ні», — сказав він аналітику. «Страхування є непомірним — наразі ви не можете отримати страховку в Північній Америці щодо кібербезпеки».