Cloud Hopper - en supply chain-attack som gav eko

Cyberattacken Cloud Hopper är en av de mest uppmärksammade i modern tid. Genom att rikta sig mot den svagaste länken i leverantörskedjan kunde de komma åt känslig information och bedriva spionage mot en rad olika organisationer. Attacken har påståtts vara en del av Kinas industrispionage och påverkade flertalet bolag här i Sverige.

När vi talar om molntjänster har det ingenting att göra med de moln vi ser i skyn, utan snarare ett samlingsnamn för datalagringsutrymme och serverkapacitet som erbjuds av flertalet organisationer, både stora som små. Fördelarna med molntjänster är framför allt att det är enklare att köpa datakapacitet än att bygga upp en infrastruktur för det själv. Det är dessutom ofta enklare att köpa funktioner som en del av en tjänst och upplevs som mer användarvänligt.

Det finns dock en del nackdelar med att köpa in molntjänster; inte minst finns det en risk att kontrollen och säkerheten hamnar utanför den egna organisationen. Detta kan få allvarliga konsekvenser om leverantören misslyckas i sitt säkerhetsarbete.

Vid den världsomspännande cyberattacken Cloud Hopper riktade sig angriparna inte direkt mot slutmålet. Istället letade de efter den svagaste länken i kedjan, som i det här fallet var molntjänsterna. Via dessa kunde de komma över känslig information och bedriva ett avancerat industrispionage under en längre tid.

Vilka låg bakom Cloud Hopper?

Hackergruppen APT 10 har utpekats som ansvarig för Cloud Hopper. APT 10 är – enligt Recorded Future som har skrivit incidentrapporten – en del av den kinesiska militära säkerhetstjänsten. Angreppet uppges vara en del i en större aktion från Kina som pågått i flera år och som har riktat in sig på västerländska organisationer. Den kinesiska regeringen har i sin tur konsekvent förnekat sin inblandning i cyberspionaget.

Enligt uppgifter har hackergruppen APT 10 varit aktiv sedan 2009. De har lång historik av cyberattacker mot organisationer inom hälsovård, flyg, försvar, myndigheter och olika industrier. På senare tid har de också visat allt större intresse för molntjänster och så kallade Managed Service Providers.

Vilka utsattes för Cloud Hopper?

Attacken riktade sig främst mot företag som sköter IT-tjänster åt andra företag, organisationer och myndigheter. Enligt Myndigheten för samhällsskydd och beredskap (MSB) var slutmålet med attackerna främst aktörer inom offentlig verksamhet, IT, kommunikation, sjukvård, energi och forskning, men mörkertalet är förmodligen väldigt stort. Angriparna har varit ute efter känslig företagsinformation av olika slag enligt Robert Jonsson från MSB:s cybersäkerhetsenhet i en intervju med TT.

- Det finns en stor bredd på informationen som stulits, allt från forskningsresultat till känslig företagsinformation som inte önskas hamna i konkurrerande händer. Informationen kommer antingen att säljas vidare, eller användas i den egna verksamheten.

Cloud Hopper riktade inte bara in sig på organisationer i Sverige och Europa; även organisationer i USA, Japan och Taiwan har utsatts inom ramen för det enorma cyberspionaget.

Ett av de bolag som utsattes var det norska IT-företaget Visma som erbjuder mjukvarutjänster till mer än 900 000 företag i Skandinavien och andra delar av Europa. Vid attacken lyckades APT 10 ta sig in i Vismas nätverk via stulna inloggningsuppgifter. Företagets säkerhetschef Espen Johansen uppgav i en intervju att attacken upptäcktes kort efter att angriparna tagit sig in i Vismas system. Till Reuters medgav Espen att attacken kunde ha lett till en katastrof.

- Om du är en säkerhetstjänst i världen och vill samla så mycket information som möjligt så riktar du dig såklart mot konvergenspunkterna, det är givet.

Cloud Hopper visar, om något, vilka faror som organisationer står inför när det gäller attacker mot leverantörskedjan. Eftersom många organisationer arbetar hårt med att stärka sin egen cybersäkerhet kan leverantörskedjan vara en annan väg in till ett eller flera företag som angriparna ser som intressanta.

Även om den här sortens attacker är mycket svåra att värja sig emot, så går det inte att bara skylla på sina underleverantörer. Det är upp till organisationen själv att äga risken och ta sitt ansvar över leveranskedjan. Men hur gör man det?

Hur kan man som organisation hantera leverantörsrisker?

För att kunna hantera leverantörsrisker på ett ändamålsenligt sätt måste en organisation först och främst förstå verksamheten och miljön som de verkar i. Det krävs en överblick över vilka leverantörerna är och hur tjänsterna interagerar med organisationens verksamhet. När organisationen har skapat sig den nödvändiga kunskapen måste man ta beslut om en acceptabel risknivå. Därefter går det att i nästa steg hantera de identifierade riskerna.

I den här artikeln tar vi upp hur organisationer bättre kan hantera leverantörsrisker, i enlighet med den internationella informationssäkerhetstandarden ISO 27001.

Vilka åtgärder kan man som organisation vidta för att stärka kontrollen? Här är några förslag:

• Kartlägg alla leverantörer och vilken data de har access till
• Undersök hur dina övriga system skulle stå sig mot en attack från en angripare med kontroll över leverantörens system
• Sträva mot att minimera åtkomsten för externa aktörer för att minska skadan om dessa komprometteras, till exempel genom att inte ge dem mer än nödvändig access och kontrollera och monitorera den accessen
• Etablera ett bra samarbete med leverantörer för att förstå deras informationssäkerhetsarbete med underleverantörer och kravställ vid behov
• Ha med “security requirements” i leverantörsavtalen och granska och monitorera att dessa följs genom exempelvis en “right to audit clause” i kontrakten
• Arbeta med att systematiskt säkerhetsklassificera information för att avgöra vilka krav man bör ställa på lagring
• Kravställ att leverantören arbetar med ledningssystem för informationssäkerhet
• Kravställ att leverantören ska dela med sig av rapporter från eventuella säkerhetstester
• Säkerställ att leverantören har en uppdaterad incidenthanteringsplan