Ενώ οι υποδομές cloud συνεχίζουν να υιοθετούνται από όλο και περισσότερους οργανισμούς, οι επιχειρήσεις δεν είναι οι μόνες που έχουν αναγνωρίσει τις δυνατότητες του cloud.  Η Check Point Software  έχει καταγράψει, τα τελευταία χρόνια, μια άνευ προηγουμένου αύξηση της εμβέλειας και της πολυπλοκότητας των επιθέσεων στην αλυσίδα εφοδιασμού λογισμικού.

Οι ψηφιακές επιθέσεις στην αλυσίδα εφοδιασμού έχουν αυξηθεί στην εποχή του cloud computingΑπό την επίθεση στην SolarWinds έως την εκτεθειμένη ευπάθεια του Apache Log4j, οι φορείς απειλών έχουν στρέψει το βλέμμα τους σε αυτόν τον χώρο, στοχεύοντας σε κρίσιμα τρωτά σημεία τόσο στους παρόχους cloud, όσο και στις αλυσίδες εφοδιασμού.

Όπως επισημαίνει η εταιρεία, το cloud computing από μόνο του έχει παρουσιάσει πολλαπλές ευπάθειες τον τελευταίο καιρό. Και καθώς οι οργανισμοί συνεχίζουν να υιοθετούν το cloud, με το 35% να εκτελεί περισσότερο από το 50% των φόρτων εργασίας του σε πλατφόρμες, όπως το Azure, το AWS και το GCP, δυσκολεύονται να διαχειριστούν την πολυπλοκότητα της διασφάλισης των υποδομών τους στο cloud σε πολλαπλές πλατφόρμες.

Παράλληλα, σύμφωνα με το Check Point 2022 Cloud Security Report, οι επιχειρήσεις υποφέρουν από έλλειψη κυβερνοδεξιοτήτων και γνώσεων.

Η παγκόσμια έκθεση αποκάλυψε, επίσης, ότι τα περιστατικά ασφάλειας στο cloud αυξήθηκαν κατά 10% σε σχέση με το προηγούμενο έτος, με το 27% των οργανισμών να επικαλείται πλέον λανθασμένες ρυθμίσεις πολύ πριν από ζητήματα, όπως τα εκτεθειμένα δεδομένα ή η παραβίαση λογαριασμών.

Η εξέλιξη αυτή, όπως φαίνεται, οδήγησε τους εγκληματίες του κυβερνοχώρου να μεταφέρουν τις επιθέσεις τους στην αλυσίδα εφοδιασμού στην αρένα του cloud.

Τι θέτει σε κίνδυνο μια αλυσίδα εφοδιασμού

Ο κλάδος έχει δει έναν αυξανόμενο αριθμό κυβερνοεπιθέσεων, που αξιοποιούν αδύναμες μεθοδολογίες της αλυσίδας εφοδιασμού. Επί του παρόντος, ο σημαντικότερος κίνδυνος της αλυσίδας εφοδιασμού, στον οποίο εκτίθενται οι οργανισμοί, προέρχεται από το λογισμικό ανοικτού κώδικα.

Η κοινότητα ανοικτού κώδικα παρέχει πολλές ενότητες και πακέτα, που υιοθετούνται τακτικά από επιχειρήσεις σε όλο τον κόσμο, συμπεριλαμβανομένων εκείνων της αλυσίδας εφοδιασμού. Το πρόβλημα με τον ανοικτό κώδικα, ωστόσο, είναι ότι είναι εγγενώς ανασφαλής.

Αυτό οφείλεται εν μέρει στο γεγονός ότι γράφεται από άτομα που μπορεί να μην έχουν την τεχνογνωσία ή τον προϋπολογισμό για να τους καταστήσουν απολύτως ασφαλής. Ένα άλλο ζήτημα με τον ανοικτό κώδικα αφορά στην ιδιοκτησία. Εξάλλου, από τη στιγμή που ένα πακέτο διατίθεται στην κοινότητα, είναι αδύνατο να προσδιοριστεί ποιος είναι ο ιδιοκτήτης του και ποιος είναι υπεύθυνος για τη συντήρησή του.

Η πανταχού παρούσα παρουσία του λογισμικού και του ανοικτού κώδικα σημαίνει ότι μπορεί να είναι δύσκολο για τους οργανισμούς να γνωρίζουν αν, είτε οι ίδιοι, είτε οι προμηθευτές τους, είναι ευάλωτοι σε αυτού του είδους τις επιθέσεις.

Αυτό καθιστά τις αλυσίδες εφοδιασμού ελκυστικό στόχο για τους εγκληματίες του κυβερνοχώρου, οι οποίοι θα επενδύσουν χρόνο και πόρους σε τέτοιες επιθέσεις με την προϋπόθεση ότι παραβιάζοντας ένα σύστημα, μπορούν γρήγορα να αποκτήσουν πρόσβαση σε πολλά άλλα.