home Teknologi Manufaktur Peralatan Manufaktur
Manufaktur industri
Industri Internet of Things | bahan industri | Pemeliharaan dan Perbaikan Peralatan | Pemrograman industri |
home  MfgRobots >> Manufaktur industri >  >> Manufacturing Technology >> Teknologi Industri

Bagaimana Penjahat Cyber ​​Dapat Memulai Serangan Melalui Mitra Rantai Pasokan

Pada dasarnya, rantai pasokan membutuhkan kemitraan kolaboratif antara orang dan organisasi. Meskipun hal ini dapat membantu mencapai tujuan bersama dan mendorong pertumbuhan, hal ini juga dapat menimbulkan sejumlah masalah.

Melalui hubungan simbiosis ini, perusahaan tanpa sadar telah mengekspos aspek sensitif dari bisnis mereka. Namun kelemahan yang diabaikan ini telah membuka peluang bagi penjahat dunia maya untuk membangun pijakan di organisasi target mereka.

Menggarisbawahi prevalensi serangan semacam itu, sebuah studi Opus dan Ponemon Institute menunjukkan bahwa setidaknya 59% organisasi telah menderita serangan siber melalui perusahaan pihak ketiga. Yang lebih mengganggu adalah kenyataan bahwa hanya 16% organisasi dalam penelitian ini yang mengklaim secara efektif mengurangi risiko keamanan siber dari pihak ketiga.

Masuk akal bahwa langkah pertama untuk melindungi perusahaan Anda dari risiko semacam itu adalah mengidentifikasinya. Berikut adalah beberapa cara pelaku jahat dapat memulai serangan melalui mitra rantai pasokan, yang diilustrasikan oleh contoh nyata.

Hampir setiap organisasi menggunakan perangkat keras dan perangkat lunak eksternal. Hanya sedikit yang ingin membangun teknologi dari awal. Sebaliknya, ledakan di bidang sumber terbuka telah menyebabkan gelombang besar outsourcing di hampir setiap aspek operasi bisnis.

Terlepas dari kemudahannya, peluang ini datang dengan risiko yang cukup besar. Pelanggaran Equifax yang terkenal pada tahun 2018 dihasilkan dari cacat pada perangkat lunak yang bertanggung jawab untuk menjalankan basis data online. Equifax juga menyalahkan tautan unduhan berbahaya di situsnya, yang berasal dari vendor lain.

Akibat kelemahan rantai pasokan ini, para penjahat mendapatkan data pribadi setidaknya 143 juta orang.

Banyak perusahaan menggunakan sistem pemanas, ventilasi, dan pendingin udara (HVAC) yang terhubung ke internet tetapi tidak memiliki langkah-langkah keamanan yang memadai. Ini memberi peretas pintu gerbang potensial ke sistem perusahaan, seperti halnya dengan pelanggaran Target besar-besaran tahun 2014.

Peretas memperoleh akses ke kredensial masuk milik perusahaan yang menyediakan sistem HVAC Target. Mereka kemudian masuk dan masuk ke sistem pembayarannya, mencuri informasi milik sekitar 70 juta orang. Itu termasuk nama, alamat fisik, alamat email dan nomor telepon, di antara data sensitif lainnya.

Bentuk risiko lain datang dari penyedia layanan cloud yang menyimpan data rahasia perusahaan. Yang pasti, entitas tersebut berinvestasi secara signifikan ke dalam keamanan sistem mereka; reputasi mereka bergantung padanya.

Tetapi seperti sistem organisasi lainnya, ini juga rentan terhadap kompromi. Itulah yang terjadi dalam peretasan Paradise Papers yang terkenal pada tahun 2018. Sekitar 13,4 juta file sensitif bocor mengungkapkan transaksi keuangan sensitif perusahaan global dan individu super kaya dari seluruh dunia. Setidaknya setengah dari file ini, sekitar 6,8 juta, berasal dari Appleby, penyedia layanan hukum lepas pantai.

Serangan serupa terjadi pada musim panas 2018, ketika Deep Root Analytics membocorkan data pribadi sekitar 200 juta pemilih. Deep Root adalah perusahaan pemasaran yang digunakan oleh partai Republik dan Demokrat. Pelanggaran tersebut terjadi karena perusahaan secara tidak sengaja meletakkan data di server yang dapat diakses publik.

Meskipun itu adalah perusahaan yang relatif kecil dengan hanya sekitar 50 karyawan, insiden serupa telah terjadi di organisasi yang lebih besar. Dalam kasus pelanggaran Verizon, Nice Systems menempatkan 6 juta catatan pelanggan di server penyimpanan Amazon S3 publik. Catatan tersebut terdiri dari log panggilan layanan pelanggan selama enam bulan. Mereka termasuk informasi pribadi dan akun. Nice memiliki lebih dari 3.500 karyawan.

Deloitte, dengan lebih dari 250.000 karyawan, telah mengalami pelanggaran data serupa. Pada bulan September 2018, peretas mendapatkan akses ke paket rahasia dan email dari beberapa pelanggan unggulannya. Celahnya, dalam hal ini, adalah kontrol akses yang lemah pada salah satu akun administratifnya.

Untuk bisnis besar, keamanan mungkin kedap air secara internal. Namun, ini mungkin tidak benar bahkan untuk sistem TI vendor. Sepertinya itulah yang terjadi di Domino's Pizza di Australia musim gugur yang lalu. Menurut laporan pada saat itu, insiden tersebut diakibatkan oleh sistem keamanan siber yang lemah dari pemasok sebelumnya. Akibatnya, sistem membocorkan nama pelanggan dan alamat email. Pelanggaran baru terungkap ketika pelanggan yang terpengaruh mulai menerima email spam yang dipersonalisasi. Meskipun Domino bersikeras bahwa tidak ada peretasan data pribadi yang berbahaya dan bahwa sistemnya tidak bersalah, kerusakan telah terjadi.

Celah lain yang mungkin dieksploitasi oleh penjahat dunia maya adalah sensor internet of things (IoT). Banyak operator bisnis yang waspada terhadap risiko keamanan komputer, telepon, dan jaringan. Namun mereka sering mengabaikan perangkat IoT, yang memungkinkan penyerang melompati sistem perusahaan.

Perangkat ini memiliki sensor yang menghubungkannya ke internet untuk tujuan komunikasi. Mereka umum dalam rantai pasokan, karena dapat membantu dalam prediksi kegagalan mesin dan manajemen inventaris, di antara area lainnya. Terlepas dari nilai fungsionalnya, mereka adalah vektor serangan populer yang dapat memberi penyerang akses ke data sensitif, dan memfasilitasi sabotase dan serangan botnet.

Contoh serangan semacam itu menggunakan botnet yang dikenal sebagai Mirai untuk mengkompromikan Dyn, antara lain perusahaan yang menyediakan layanan nama domain untuk Reddit, Netflix, dan Github. Mirai adalah botnet khusus IoT yang dirancang untuk melakukan serangan penolakan layanan (DDOS) terdistribusi.

Contoh di atas memberikan kepercayaan pada fakta bahwa penyerang dapat menggunakan tautan lemah dalam rantai pasokan Anda untuk mendapatkan akses ke sistem. Sayangnya, Anda tidak dapat melakukan kontrol langsung atas langkah-langkah keamanan yang diterapkan oleh mitra rantai pasokan Anda. Tetapi pada akhirnya, pelanggan tidak peduli bagaimana Anda dikompromikan. Mereka hanya ingin tahu bahwa data mereka aman. Dan ini menempatkan tanggung jawab untuk memastikan keamanan yang ketat di tangan Anda.

Uji tuntas dalam menilai sistem keamanan pihak ketiga dan kebijakan privasi mereka sangat penting. Seperti yang telah kita lihat, organisasi besar dan kecil dapat menjadi mangsa taktik ini. Berapa pun ukuran partner Anda, penting untuk menilai komitmen mereka terhadap keamanan.

Jadikan tujuan utama untuk menilai di mana letak kelemahan Anda, dan memprioritaskan menutup semua celah.

Olivia Scott adalah manajer pemasaran di VPNpro.com.


Teknologi Industri

  • Proses manufaktur
  • pencetakan 3D
  • Sistem Kontrol Otomatisasi
  • Teknologi Industri
    1. Bagaimana CMMS Dapat Meningkatkan Manajemen Gudang
    2. Bagaimana Otomasi Dapat Membantu Pekerja Gudang Saat Ini
    3. Inovasi dalam Pengadaan:Bagaimana CPO Dapat Memberikan Nilai
    4. Bagaimana Keuangan Rantai Pasokan Dapat Membantu Perusahaan Melindungi Modal Kerja
    5. Bagaimana Perusahaan Rantai Pasokan Dapat Membangun Peta Jalan Dengan AI
    6. Bagaimana Kami Mempercepat Digitalisasi Rantai Pasokan?
    7. Enam Cara Sistem Kesehatan Dapat Menghemat Jutaan Orang di 2020
    8. Cara Membuat Data Rantai Pasokan Terpercaya
    9. Cara Melindungi Terhadap Gempa Rantai Pasokan
    10. Bagaimana Investigasi Mikro Dapat Meningkatkan Kepatuhan Rantai Pasokan