Ως εφοδιαστική αλυσίδα ενός οργανισμού, ορίζεται το δίκτυο συνεργατών και προμηθευτών του, στο οποίο βασίζεται μεγάλο μέρος της παραγωγής, διάθεσης και διανομής των προϊόντων ή των υπηρεσιών που παρέχει.
Νότης Ηλιόπουλος
MSc InfoSec, MSc MBIT, CISA, CISM, ISO27k LA
Information Security & Compliance Officer
MR HealthTech Ltd.
Η διαχείριση της εφοδιαστικής αλυσίδας περιλαμβάνει τη ροή των αγαθών, των υπηρεσιών και των πρώτων υλών προς τον οργανισμό, καθώς και όλες τις διεργασίες που αφορούν στη χρήση και τη μετατροπή των ανωτέρω στα ολοκληρωμένα προϊόντα ή υπηρεσίες που παρέχει ο οργανισμός. Η αυξημένη δια-συνδεσιμότητα και αλληλεπίδραση του φυσικού και του ψηφιακού κόσμου, καθώς και η απαίτηση για άμεση απόκριση κατά την παροχή υπηρεσιών και καταναλωτικών αγαθών ωθούν τους οργανισμούς στη δημιουργία και χρήση ενός εκτεταμένου δικτύου εφοδιαστικής αλυσίδας. Η αδυναμία ή η καθυστερημένη διαχείριση των σχετικών κινδύνων θέτει σε κίνδυνο την παραγωγική διαδικασία και μοιραία απειλεί και την ίδια τη βιωσιμότητα του οργανισμού. Η εκτεταμένη χρήση της ψηφιακής τεχνολογίας, είτε η χρήση της ίδιας μέσω προμήθειας σχετικών υπηρεσιών και εξοπλισμού, είτε η χρήση της στις περισσότερες πτυχές και διαδικασίες κατά τη διαχείριση της εφοδιαστικής αλυσίδας, μπορεί ν’ αποτελέσει πηγή κινδύνων για τη λειτουργία και την επίτευξη των επιχειρηματικών στόχων του εκάστοτε οργανισμού. Οι εν λόγω κίνδυνοι (στους οποίους εντάσσονται και οι κυβερνοεπιθέσεις), αφορούν σε πολλές επιμέρους πτυχές της εφοδιαστικής αλυσίδας, όπως η συνεχής λειτουργία της, ο έλεγχος ποιότητας και ασφάλειας των παρεχόμενων προϊόντων και υπηρεσιών, η ασφαλής μεταφορά των παραχθέντων προϊόντων, η επικοινωνία με τους συνεργάτες και τους προμηθευτές, αλλά και η διαχείριση των τελευταίων, καθώς και τα κενά ασφάλειας των παρεχόμενων υπηρεσιών και των ψηφιακών υποδομών.
Η ασφάλεια της εφοδιαστικής αλυσίδας περιλαμβάνει εξ ορισμού τόσο τη φυσική ασφάλεια, η οποία σχετίζεται με τα υλικά παραγωγής, τα προϊόντα και τη μεταφορά τους , όσο και την ψηφιακή ασφάλεια, η οποία σχετίζεται με το λογισμικό, τις υπηρεσίες και τις ψηφιακές υποδομές που προμηθεύεται ένας οργανισμός στο πλαίσιο των επιχειρηματικών του δραστηριοτήτων. Ειδικότερα, η ψηφιακή ασφάλεια αφορά, πρωτίστως, στην ελαχιστοποίηση των κινδύνων από τη χρήση λογισμικού που έχει αναπτυχθεί από τρίτους (εμπορικά διαθέσιμο ή κατά παραγγελία), και στην προστασία των ψηφιακών δεδομένων και υποδομών στα οποία έχει πρόσβαση ο προμηθευτής ή ο συνεργάτης ενός Οργανισμού. Είναι γεγονός ότι η ευρύτερη χρήση της ψηφιακής τεχνολογίας και ο σημαντικός ρόλος της εφοδιαστικής αλυσίδας για έναν οργανισμό αποτελούν πόλο έλξης των κάθε είδους κακόβουλων που αποσκοπούν στην πρόκληση ζημίας σε έναν οργανισμό για ίδιον ή για όφελος τρίτων. Οι επιθέσεις που έχουν ως στόχο την εφοδιαστική αλυσίδα ενός οργανισμού, αποτελούν στην πραγματικότητα συνδυασμό δύο επιμέρους επιθέσεων. Η πρώτη επίθεση έχει ως στόχο τον προμηθευτή, ο οποίος στη συνέχεια χρησιμοποιείται ως δούρειος ίππος προκειμένου ο επιτιθέμενος ν’ αποκτήσει πρόσβαση στην υποδομή ή/και σε κρίσιμα περιουσιακά στοιχεία του τελικού του στόχου, ο οποίος μπορεί να είναι τόσο ο εκάστοτε πελάτης του προμηθευτή, όσο και κάποιος άλλος προμηθευτής. Για να χαρακτηριστεί, δηλαδή, μία επίθεση ως επίθεση που αφορά στην εφοδιαστική αλυσίδα, θα πρέπει τόσο ο οργανισμός όσο και ο προμηθευτής του ν’ αποτελούν στόχο της εν λόγω επίθεσης.
Οι λόγοι που καθιστούν την εφοδιαστική αλυσίδα στόχο ψηφιακών επιθέσεων
Η αυξημένη χρήση της ψηφιακής τεχνολογίας στην εφοδιαστική αλυσίδα μεγιστοποιεί, πράγματι, την αποτελεσματικότητα της συνεργασίας μεταξύ ενός οργανισμού και των προμηθευτών του. Ωστόσο, λόγω ακριβώς αυτής της διασύνδεσης, σε περίπτωση παραβίασης της ψηφιακής ασφάλειας μπορεί να πληγεί τόσο ο προμηθευτής, όσο και ο οργανισμός. Μια τέτοια παραβίαση επηρεάζει όλα τα μέλη της εφοδιαστικής αλυσίδας αλλά και τους συνεργάτες τους. Οι επίδοξοι κυβερνο-εγκληματίες εκμεταλλεύονται αδυναμίες και παραλείψεις που αφορούν στην ψηφιακή ασφάλεια των οργανισμών οι οποίοι αποτελούν μέλη της ίδιας εφοδιαστικής αλυσίδας, με στόχο ν’ αποκτήσουν πρόσβαση σε ψηφιακούς πόρους και υποδομές του πιο αδύναμου κρίκου της εν λόγω αλυσίδας και στη συνέχεια να τον χρησιμοποιήσουν προκειμένου να επιτύχουν τους στόχους τους. Ταυτόχρονα, δεν πρέπει να παραβλέπονται οι αστοχίες, αδυναμίες και παραλείψεις στον τομέα της ψηφιακής ασφάλειας, οι οποίες εντοπίζονται στο εσωτερικό του κάθε οργανισμού και μπορούν να διαταράξουν τη λειτουργία της εφοδιαστικής αλυσίδας. Στις επιπτώσεις από τη διατάραξη της ομαλής λειτουργίας της εφοδιαστικής αλυσίδας, συγκαταλέγονται, μεταξύ άλλων, η αύξηση του λειτουργικού και του κόστους παραγωγής, η αδυναμία τήρησης των χρονοδιαγραμμάτων υλοποίησης συμβατικών υποχρεώσεων και η απώλεια της πνευματικής ιδιοκτησίας. Επιπροσθέτως, σε περίπτωση διάθεσης προϊόντων, η ψηφιακή ασφάλεια των οποίων είτε έχει ήδη παραβιαστεί, είτε είναι αμφίβολη, ελλοχεύει ο αυξημένος κίνδυνος επιβολής κάθε είδους κυρώσεων, αλλά και δημιουργίας δικαστικώς επιδιώξιμων απαιτήσεων.
Η εξάρτηση ολοένα και περισσοτέρων οργανισμών από παρόχους υπηρεσιών νεφοϋπολογιστικής (cloud), ή υπηρεσιών στο πλαίσιο των οποίων οι προμηθευτές διαχειρίζονται ψηφιακές υποδομές και λογισμικό για λογαριασμό των οργανισμών, καταδεικνύει την ανάγκη για διαφάνεια κι έλεγχο ως προς την ασφάλεια των πληροφοριών και των ψηφιακών υποδομών που σχετίζονται με την εφοδιαστική αλυσίδα ενός οργανισμού. Το ίδιο ισχύει, αντίστοιχα, και για τις μονάδες βιομηχανικής παραγωγής, οι διεργασίες της σύγχρονης εφοδιαστικής αλυσίδας των οποίων είναι αυξημένης πολυπλοκότητας, αλλά και χαρακτηρίζονται από την ευρεία χρήση της ψηφιακής τεχνολογίας. Για παράδειγμα, η παραγωγή ενός και μόνο υλικού δύναται να περιλαμβάνει τον συντονισμό και την ανταλλαγή πληροφοριών μεταξύ δεκάδων κατασκευαστών εξαρτημάτων και υπεργολάβων, οι οποίοι προς τον σκοπό του συντονισμού των επιμέρους εργασιών τους, χρησιμοποιούν σε μεγάλο βαθμό ψηφιακές τεχνολογίες. Οι κίνδυνοι που είναι συνυφασμένοι με την ασφάλεια των πληροφοριών και των ψηφιακών πόρων της εφοδιαστικής αλυσίδας ενδέχεται να αφορούν σε κακόβουλη ενέργεια, σε μη εξουσιοδοτημένη διεργασία, στην αδυναμία λειτουργίας εν όλω ή εν μέρει της εφοδιαστικής αλυσίδας, αλλά και στην αστοχία υλικού ή/και λογισμικού, η οποία μπορεί να προκληθεί από τους προμηθευτές ή μέσω αυτών, τις εφοδιαστικές αλυσίδες αυτών, τα προϊόντα τους ή τις υπηρεσίες τους. Οι εν λόγω κίνδυνοι είναι το αποτέλεσμα της εκμετάλλευσης των αδυναμιών της ψηφιακής ασφάλειας που υπάρχουν σε προϊόντα και υπηρεσίες οι οποίες, είτε αποτελούν καθαυτές μέρος της εφοδιαστικής αλυσίδας, είτε χρησιμοποιούνται για τη διαχείριση της. Οι κυβερνο-επιθέσεις που αφορούν στην εφοδιαστική αλυσίδα είναι στην πλειοψηφία τους ευκαιριακές και λιγότερο στοχευμένες. Στην πράξη, οι κακόβουλοι επιτιθέμενοι εντοπίζουν μέσω αυτοματοποιημένων σαρώσεων τα τρωτά σημεία στην ψηφιακή υποδομή ενός προμηθευτή, με σκοπό να τα εκμεταλλευτούν, προκειμένου να αποκτήσουν πρόσβαση σε πληροφορίες και ψηφιακές υποδομές. Στη συνέχεια, εκμεταλλεύονται τη σχέση εμπιστοσύνης του προμηθευτή με τους πελάτες του (υπηρεσίες, προϊόντα, ψηφιακή διασύνδεση) και προσπαθούν να αποκτήσουν πρόσβαση σε πληροφορίες και υποδομές των πελατών του προμηθευτή. Στην προσπάθειά τους αυτή, είτε εκμεταλλεύονται κενά ασφάλειας των υποδομών των εκάστοτε πελατών, είτε παρεισφρέουν στην υποδομή των πελατών μέσω των παρεχόμενων υπηρεσιών, υλικών και λογισμικού.
Σε αυτό το περιβάλλον, είναι σημαντικό οι οργανισμοί να αναγνωρίζουν τους κινδύνους που αφορούν την δική τους εφοδιαστική αλυσίδα και ν’ αναπτύσσουν ένα αποτελεσματικό πρόγραμμα για τον εντοπισμό, την αξιολόγηση και τη διαχείριση αυτών των κινδύνων. Κάποιες από τις πηγές από τις οποίες θα μπορούσαν να προκύψουν απειλές για τον οργανισμό σε σχέση με την εφοδιαστική του αλυσίδα, είναι ενδεικτικά οι ακόλουθες:
α) Πάροχοι υπηρεσιών και προμηθευτές, κάθε είδους, οι οποίοι είτε διαθέτουν φυσική ή εικονική πρόσβαση σε χώρο και υποδομές του οργανισμού, είτε παρέχουν εφαρμογές λογισμικού προς αγορά και χρήση,
β) Έλλειψη αποτελεσματικότητας αναφορικά με πρακτικές ασφάλειας πληροφοριών και ψηφιακών υποδομών από προμηθευτές, οι υπηρεσίες των οποίων χαρακτηρίζονται ως περιορισμένης κρισιμότητας για τον οργανισμό. Οι προμηθευτές που είναι μικρομεσαίες εταιρείες, , δεν εφαρμόζουν συνήθως κατάλληλα μέτρα προστασίας, προκειμένου να μειώσουν το λειτουργικό τους κόστος ,
γ) Λογισμικό, είτε εμπορικά διαθέσιμο είτε κατά παραγγελία, το οποίο περιέχει εγγενείς αδυναμίες ασφάλειας ή έχει παραβιασθεί κατά τρόπο ώστε ο προμηθευτής να έχει τη δυνατότητα της πρόσβασης σε δεδομένα του οργανισμού, χωρίς αυτό να γίνεται αντιληπτό από τον οργανισμό,
δ) Αδυναμίες και κενά ασφάλειας σε λογισμικό που χρησιμοποιείται για τη διαχείριση των διαδικασιών της εφοδιαστικής αλυσίδας,
ε) Λογισμικό και υλικό με ενσωματωμένο κακόβουλο λογισμικό,
ζ) Ψηφιακή και φυσική αποθήκευση πληροφοριών σε υποδομές προμηθευτών που παρέχουν σχετικές υπηρεσιών,
η) Παραβίαση της ασφάλειας των υποδομών ενός παρόχου ψηφιακών υπηρεσιών (χρήση λογισμικού ή διαδικτυακών ψηφιακών υποδομών με τη μορφή υπηρεσίας, υπηρεσίες cloud κλπ.). Ο κακόβουλος εισβολέας αποκτά μη εξουσιοδοτημένη πρόσβαση στα συστήματα και τα δεδομένα των πελατών του προμηθευτή,
θ) Κακόβουλη δραστηριότητα από εξουσιοδοτημένο χρήστη ενός προμηθευτή,
ι) Μη αποτελεσματικός έλεγχος ποιότητας κατά τη διαδικασία ανάπτυξης ή παραγωγής λογισμικού, το οποίο εκμεταλλεύεται κακόβουλος . Με τον τρόπο αυτόν, ο κακόβουλος επίδοξος εισβολέας θα μπορούσε να ενσωματώσει κακόβουλο λογισμικό ή να διαθέτει συνεχή πρόσβαση στα δεδομένα του οργανισμού που κάνει χρήση του λογισμικού του.
Η διαχείριση κινδύνων στην εφοδιαστική αλυσίδα
Από τα παραπάνω, γίνεται αντιληπτό ότι οι κίνδυνοι που αφορούν στην εφοδιαστική αλυσίδα χρήζουν ιδιαίτερης προσοχής και ταυτόχρονα μίας ολοκληρωμένης προσέγγισης όσον αφορά στην διαχείριση τους και στην υλοποίηση των απαραίτητων δικλείδων ασφάλειας. Είναι αναγκαίο να δημιουργηθεί μια συγκεκριμένη διεργασία η οποία θα διέπεται από κανόνες, θα προσδιορίζει συγκεκριμένες αρμοδιότητες σε υφιστάμενους επιχειρηματικούς ρόλους και θα αποτελεί βασικό εργαλείο σε όλον τον κύκλο διαχείρισης των προμηθευτών και συνεργατών του οργανισμού. Η εν λόγω διεργασία καλείται ν’ αντιμετωπίσει τους κινδύνους που προκύπτουν από τη χρήση της ψηφιακής τεχνολογίας στην εφοδιαστική αλυσίδα και βασίζεται στην τήρηση των βασικών αρχών για τη διαρκή διαχείριση των κινδύνων και στην αποτελεσματική υλοποίηση των βασικών επιταγών της ασφάλειας των πληροφοριών και των ψηφιακών υποδομών. Όπως προαναφέρθηκε, οι κίνδυνοι αυτοί δεν περιορίζονται στους προμηθευτές που παρέχουν υπηρεσίες ή υποδομές τεχνολογίας της πληροφορίας και των επικοινωνιών (ICT service providers). Η ψηφιακή αλληλεπίδραση με προμηθευτές και συνεργάτες μπορεί να προκύψει από οποιαδήποτε δραστηριότητα ενός οργανισμού. Ως εκ τούτου, οι ψηφιακές απειλές που σχετίζονται με την εφοδιαστική αλυσίδα αποτελούν πρόκληση για ολόκληρο τον οργανισμό, η οποία συνεπάγεται την ανάγκη για τήρησή της απ’ όλες τις οργανωτικές δομές. Η δημιουργία μιας τέτοιας διεργασίας για τη διαχείριση των κινδύνων που αφορούν στην ασφάλεια των πληροφοριών και των ψηφιακών υποδομών της εφοδιαστικής αλυσίδας αποτελεί αναπόσπαστο μέρος της ευρύτερης διεργασίας που σχετίζεται με τη διαχείριση της εφοδιαστικής αλυσίδας, για αυτό και κρίνεται απαραίτητη τόσο η ενσωμάτωσή της στο πλέγμα των διαδικασιών που σχετίζονται με την εν γένει διαχείριση κινδύνων του οργανισμού, όσο και η κατανόηση και εφαρμογή της από το σύνολο των εμπλεκομένων ρόλων.
Η διαχείριση των κινδύνων που αφορούν στην εφοδιαστική αλυσίδα είναι ειδικότερα η διαδικασία εντοπισμού, αξιολόγησης, ιεράρχησης και ελαχιστοποίησης των απειλών που άπτονται της εφοδιαστικής αλυσίδας και των κινδύνων που ενέχουν, στους οποίους εντάσσονται και οι κίνδυνοι που προέρχονται από τους συνεργάτες και τους προμηθευτές. Η συγκεκριμένη διαδικασία αποτελείται από περισσότερα στάδια, ο τρόπος υλοποίησης των οποίων διαφοροποιείται από οργανισμό σε οργανισμό. Ωστόσο, τα ακόλουθα βήματα κρίνονται ως απαραίτητα σε κάθε περίπτωση, με ιδιαίτερη αναφορά στον προσδιορισμό και στην αξιολόγηση των κινδύνων που αφορούν στην ασφάλεια των πληροφοριών και των ψηφιακών υποδομών της εφοδιαστικής αλυσίδας.
Προσδιορισμός και αξιολόγηση κρισιμότητας των προμηθευτών: Βασική προϋπόθεση για τη διαχείριση των κινδύνων αποτελεί ο προσδιορισμός των προμηθευτών στο σύνολό τους και ανεξάρτητα από τη κρισιμότητά τους για τον οργανισμό, αλλά και από την οργανωτική μονάδα που είναι αρμόδια για ι τη σχέση με τον προμηθευτή. Τούτο συνιστά σημαντική πληροφορία κατά τον προσδιορισμό και αξιολόγηση των κρίσιμων υπηρεσιών, προϊόντων και διεργασιών του οργανισμού, ώστε να είναι απολύτως σαφές σε ποιο ακριβώς τμήμα της επιχειρηματικής δραστηριότητας του οργανισμού εμπλέκεται ο εκάστοτε προμηθευτής του. Ταυτόχρονα, εξίσου σημαντική είναι η αποτύπωση των διαδικασιών διαχείρισης του κάθε προμηθευτή, αλλά και των μέτρων προστασίας που έχει υιοθετήσει ο τελευταίος, ως προς την ασφάλεια των πληροφοριών και των ψηφιακών τους υποδομών.
Αξιολόγηση κινδύνων και προσδιορισμός διορθωτικών ενεργειών: Βάσει των ανωτέρω πληροφοριών, εκτιμάται η κρισιμότητα των προμηθευτών και ομαδοποιούνται σύμφωνα με αυτήν. Ιδανικά, η εν λόγω εκτίμηση αποτελεί μέρος της διεργασίας «αξιολόγηση του επιχειρηματικού αντίκτυπου» κατά την οποία αξιολογείται η κρισιμότητα των επιχειρηματικών δραστηριοτήτων και κατ’ επέκταση η αναγκαιότητα των προμηθευτών και συνεργατών για την επίτευξη των επιχειρηματικών σκοπών. Το επόμενο στάδιο αφορά στην αναγνώριση και αξιολόγηση των κινδύνων που αφορούν στην εφοδιαστική αλυσίδα του οργανισμού. Η αξιολόγηση αυτή κινείται γύρω από δύο άξονες, ήτοι: α) την αξιολόγηση των κινδύνων που αφορούν στην διεργασία διαχείρισης των προμηθευτών, και β) την αξιολόγηση των δικλείδων ασφάλειας που εφαρμόζει ο προμηθευτής κι έχουν σχέση με τη συνεργασία, την επικοινωνία και τον τρόπο παροχής υπηρεσιών και προϊόντων προς τον οργανισμό. Το ανωτέρω στάδιο οδηγεί στην ανάδειξη των σημείων που απαιτούν την εφαρμογή διορθωτικών ενεργειών. Όσον αφορά στους προμηθευτές, ιδίως τους κρίσιμους για τη λειτουργία του οργανισμού, είναι αναγκαίο να υπάρξει συνεργασία και συντονισμός κοινών δράσεων με σκοπό τη συνεχή αξιολόγηση και ενίσχυση των δικλείδων ασφάλειας που επηρεάζουν ή αλληλοεπιδρούν με την εφοδιαστική αλυσίδα. Από τη πλευρά του ο οργανισμός δεν πρέπει να εφησυχάζει, αλλά να προβαίνει σε συστηματική αξιολόγηση των δικλείδων ασφάλειας που τηρεί ο προμηθευτής ανά τακτά χρονικά διαστήματα, ανάλογα με την κρισιμότητα του εκάστοτε προμηθευτή για τον οργανισμό.
Συμπερασματικά
Η ικανότητα της εκτίμησης και της ελαχιστοποίησης των κινδύνων που άπτονται την ασφάλειας των πληροφοριών και των ψηφιακών υποδομών και αφορούν στην εφοδιαστική αλυσίδα ενός οργανισμού, είναι πρωταρχικής σημασίας. Για τον λόγο αυτόν, απαιτείται η κατάρτιση δομημένου προγράμματος για τη διαχείριση των κινδύνων στην εφοδιαστική αλυσίδα του οργανισμού, στ’ οποίο θα περιλαμβάνονται σαφείς οδηγίες για την εφαρμογή όλων των ανωτέρω αναφερθέντων αναλυτικά αναφορικά με την πλέον σύγχρονη πτυχή της εφοδιαστικής αλυσίδας. Τα δίκτυα της εφοδιαστικής αλυσίδας είναι πολύπλοκα, εκτείνονται σε παγκόσμιο επίπεδο, χρησιμοποιούν ευρέως, αλλά και εμπορεύονται την τεχνολογία και επηρεάζουν σε μεγάλο βαθμό τη βιωσιμότητα και την ανθεκτικότητα ενός οργανισμού. Υπό τις περιστάσεις αυτές, οι οργανισμοί που καταφέρνουν να διαχειριστούν τους κινδύνους που προκύπτουν από την εφοδιαστική τους αλυσίδα, αποκτούν ένα ακόμα ισχυρό εργαλείο στην προσπάθειά τους για συνεχή διατήρηση του ανταγωνιστικού τους πλεονεκτήματος, το οποίο με τη σειρά του συνδράμει στην εξασφάλιση της βιωσιμότητάς τους.