Amikor a katasztrófa nemcsak elmélet
A kibertámadások kockázata sokáig főleg elméleti fenyegetésként lebegett a gyártók felett, azonban a Jaguar Land Rover (JLR) elleni támadás valósággá vált, amelynek nyomán a gyártás hetekre teljesen leállt. Ez az incidens megközelítőleg 750 milliárd forintnál is nagyobb kárt okozott a brit gazdaságnak, közel 5000 szervezetet érintett, és komoly munkanélküliséget eredményezett. A szigetország kormányának végül közel 750 milliárd forintnyi hitelgaranciával kellett beavatkoznia, hogy a vállalat működőképességét fenntartsa.
A beszállítói lánc a legsebezhetőbb láncszem
A támadássorozat rávilágított arra is, hogy a gyártók kiberbiztonsági rendszerében a beszállítói lánc kritikus gyenge pont. A JLR-t sújtó támadás is úgy indult, hogy egy külső partner hitelesítő adataihoz jutottak hozzá a támadók. A kérdés azonban korántsem ilyen egyszerű, ugyanis gyakran maguk a fejlesztői eszközök és folyamatok válnak célponttá. Mivel a részletek nem minden esetben nyilvánosak, egy dolog viszont bizonyos: ha a gyártók nem követelik meg partnereiktől a biztonságos szoftverfejlesztési módszertanokat, akkor könnyedén ők is JLR-méretű katasztrófák áldozatává válhatnak.
Kifinomult célpontok – út a veszélyzónába
Az ellátási láncokat veszélyeztető támadások évek óta ismertek, de továbbra is rendkívül hatékonyak. Elég csak a SolarWinds, a Kaseya VSA vagy a VoIP-szolgáltató 3CX elleni akciókra gondolni – mindegyik a szoftverfejlesztési folyamaton keresztül mérgezte meg a teljes partnerhálózatot.
Az eszköztár is bővül: egyre gyakoribb az NPM-csomagok (JavaScriptben használt újrafelhasználható kódrészek) támadása. Ha ilyenkor egy csomagot sikerül kompromittálni, a sebezhetőség automatikusan bekerül több különböző alkalmazásba, akár hónapokon keresztül észrevétlenül pusztítva. Ilyen például a Shai-Hulud kriptolopó, amely már több mint 500 NPM-csomagot fertőzött meg – köztük kiberbiztonsági cégek által használt szoftvereket is. Emellett célpontok lehetnek a frissítési csatornák és a szoftverhibák is. Az eredmény: az ellátási láncban használt alkalmazások nagyon sérülékenyek, ezért kiemelten ellenőrizni kell őket.
Új szempontok a partnerértékelésben
A gyártók egyre inkább felismerik, hogy a beszállítói partnerek kiválasztásánál nemcsak a pénzügyi stabilitást, infrastruktúra-biztonságot vagy SLA-ket kell vizsgálni, hanem magát a szoftverfejlesztési folyamatot is. A Secure Software Development Life Cycle (SSDLC), azaz a biztonságos szoftverfejlesztési életciklus megkövetelése már nem extra, hanem alapfeltételnek számít. Enélkül magas a leállások, pénzügyi veszteségek, jogszabálysértések és a jó hírnév elvesztésének kockázata.
Túl a pipálgatáson – mi az igazán érett megközelítés?
Az SSDLC értékét könnyű alábecsülni, pedig már uniós direktíva is kötelezővé teszi a dokumentált, szigorú szoftverfejlesztési biztonsági irányelveket. Nem mindegy, mikor észlelnek egy sérülékenységet: a követelmények elemzésekor még gyorsan javítható, de ha csak az üzembe helyezés után derül ki, az hetekig tartó válságkezelést igényel. Az érett SSDLC magában foglalja a biztonságos tervezést (már az első vonaltól), a biztonságtudatos programozást, a harmadik féltől származó szoftverek gondos menedzsmentjét (SBOM segítségével), a biztonságos kiadási csatornákat, átlátható sérülékenységkezelési folyamatokat.
Ez garantálja, hogy a gyártósorokat, kritikus rendszereket, ipari hálózatokat vezérlő szoftverekbe nem utólag, hanem már a fejlesztés pillanatától beépül a biztonsági szemlélet.
Az igazi garancia – iparági tanúsítványok
Az egyik legmegbízhatóbb visszajelzés a valóban biztonságos fejlesztésről az ipari tanúsítás. Kiemelten fontos a gyártói ökoszisztémában az IEC 62443-4-1 szabvány, amely kizárólag az ipari automatizálás szoftverfejlesztési életciklusára fókuszál. Ez a tanúsítvány azt bizonyítja, hogy a szoftvergyártó a folyamatos üzem mellett, rövid javítási ablakokkal, akár fizikai károkat is okozó szoftverhibák esélyét is minimalizálja. Független, auditált igazolást nyújt arról, hogy a beszállító szoftverei már a tervezési fázistól kezdve megfelelnek az iparág elvárásainak – ami alapvető bizalmat teremt a vevők, integrátorok és végfelhasználók felé.
Hogyan válassz megbízható partnert?
A gyártói beszerzési folyamatokba be kell építeni az SSDLC követelményeit, RFP-kben és szerződésekben már az elején világossá tenni az elvárásokat. Célszerű tanúsítványokat, auditor által készített jelentéseket, SBOM-adatokat, tesztelési eredményeket is bekérni a kiválasztás során. Elsősorban az ipari környezetben működő termékszállítóknál az IEC 62443-4-1 a mérvadó, kiegészítve az ISO/IEC 27001-gyel és a felhőalapú szolgáltatók esetén felhőspecifikus igazolásokkal. Folyamatosan monitorozni kell a beszállítók fejlődését, nem elég kipipálni egy űrlapot – a fejlesztési érettség skáláján kell elhelyezni őket.
Ebből kifolyólag
A beszállítók értékelése többé nem csupán az üzemelést és infrastruktúrát vizsgálja. A sérülékenységek nagy része a fejlesztési folyamatban keletkezik, ezért csak akkor lehet megelőzni a JLR-hez hasonló katasztrófákat, ha már a kód írásától kezdve biztosított a kiemelt szoftverbiztonság.
