בהמשך לסדרת הניוזלטרים הקודמים בנושא אבטחת שרשרת האספקה, אנו שמחים להציג את החלק השלישי בסדרה
חוקרי אבטחת מידע חשפו מתקפת סייבר מתוחכמת שפגעה ביותר מ-100 סוכנויות רכב ברחבי ארה"ב. התוקפים ניצלו פרצת אבטחה בשירות LES Automotive, פלטפורמת וידאו פופולרית בתעשיית הרכב, כדי להפיץ תוכנות זדוניות למבקרים באתרי הסוכנויות.
בדף הזדוני התבקשו הגולשים לבצע פעולות שונות כמו השלמת אתגר reCAPTCHA.
בלחיצה על ההנחיות, קוד זדוני הועתק אוטומטית ללוח של המשתמש, והוא התבקש לפתוח את חלון ההפעלה של Windows ולהדביק את הקוד, מה שהוביל להתקנת תוכנה זדונית מסוג SectopRAT.
מתקפת סייבר על ספק ניהול רשומות משבשת עבודת רשויות ממשל בארה"ב
החברה הגיבה בניתוק השרתים שלה מהחשמל כדי לבודד את הפריצה למערכות שלה.
השעיית פעילות שרתי החברה אילצה מאות רשויות מקומיות לעבור לעבודה באמצעות תהליכים ידניים, מה שגרם להאטה משמעותית בעיבוד תעודות לידה, רישיונות נישואין ועסקאות נדל"ן. אפקט האדווה של מתקפת הסייבר הורגש במחוזות שונים ברחבי ארה"ב, כאשר קצב העבודה שלהם הואט. לפחות שישה מחוזות בצפון קרוליינה ננעלו מחוץ למערכות הרשומות החיוניות שלהם וחזרו לעדכן רשומות באופן ידני.
"הכל מתבצע בקצב הרבה יותר איטי", אמר סקוט רוג'רס – עוזר המנהל של מחוז נאש, הוא הוסיף כי המחוז לא הצליח להנפיק רישיונות נישואין חדשים או לבצע עסקאות נדל"ן חדשות מאז מתקפת הסייבר.
מקרי התקיפה הללו מראים לנו שגם ספק קטן כביכול בשרשרת האספקה עלול להפוך לנקודת כשל קריטית ולחייב בקרה הדוקה על כלל השותפים העסקיים הכוללת:
בחינה של הספקים שניגשים למידע שלכם והערכת הסיכונים לגביהם כולל דרישה להוכחות אבטחה.
- ווידוא שכל הספקים, גם הקטנים והמשניים לכאורה, משתמשים ב- MFA ונבדקו לעמידה בתקני אבטחת מידע ותקנות הגנת הפרטיות/GDPR.
- הטמעת מנגנון לניטור עדכוני אבטחה של ספקי תוכנה.
- החתמת הספקים על חוזים המחייבים להטמעת בקרות לאבטחת מידע ודיווח במיידי במקרה של אירוע אבטחת מידע.
