Kybernetická bezpečnosť v logistike nie je len IT zodpovednosť
Pre mnoho rokov bola kybernetická bezpečnosť považovaná za technickú tému. Niečo, čo IT spravuje na pozadí. Firewall, záplaty, antivírusový softvér. Nevyhnutné, ale nie strategické. Tento čas je preč, píše Andreas Anyuru (na obrázku nižšie), CTO spoločnosti Consafe Logistics.
Dnes sú systémy riadenia skladov a platformy dodávateľského reťazca hlboko začlenené do obchodných operácií. Kontrolujú tok tovaru, automatizáciu, robotiku, rezervácie dopravy a doručenie zákazníkom. Keď prestanú fungovať, prestanú aj operácie. Prestane aj príjem. Testovanie je časovo náročné. Aktualizácia sa odkladá na ďalší štvrťrok.
Medzitým útočníci automatizujú svoje skeny. Hľadajú systémy, ktoré neboli aktualizované. A nachádzajú ich.
V prostredí dodávateľského reťazca sú dôsledky ešte výraznejšie. Systém riadenia skladu neriadi len dáta. Kontroluje fyzické operácie. Dopravníky, triediace zariadenia, robotiku, procesy vychystávania. Mnohé bežia 24/7. Ich zastavenie nie je ako reštartovanie kancelárskej aplikácie. Môže to znamenať oneskorené doručenia, sankcie zmlúv a poškodenie reputácie.
Niekoľko výrobcov automobilov v Ázii a Spojenom kráľovstve muselo v posledných rokoch na niekoľko týždňov zastaviť výrobu po kybernetických incidentech. V niektorých prípadoch sa predpokladalo, že postihnuté systémy sú izolované. Finančný dopad bol významný. Prevádzkový dopad ešte väčší. Lekcia je jasná. Izolácia nie je ochranou. Zložitosť nie je bezpečnosť.
Zaostáva dodávateľský reťazec?
Veľa spoločností na úrovni Tier 1 a Tier 2 v Európe urobilo pôsobivé investície do automatizácie, digitalizácie a integrácie. Platformy WMS sú prepojené s ERP, systémami riadenia dopravy, poskytovateľmi automatizácie a cloudovými službami. Táto konektivita zvyšuje efektivitu a prehľad v celom hodnotovom reťazci. No zároveň zvyšuje aj povrch útoku.
Zároveň stále vidíme prostredia bežiace na starších platformách, ktoré už nie sú podporované. Aktualizácie sa odkladajú, pretože operácie sú stabilné. „Ak to funguje, prečo to meniť?“ je pochopiteľná otázka z prevádzkovej perspektívy. Z pohľadu kybernetickej bezpečnosti je to však rastúca zodpovednosť.
Dobrou ukážkou je nedávny príklad. Bolo zverejnené vážne zraniteľnosti v široko používanom frameworku, ktorý stojí za mnohými modernými aplikáciami. Okamžite bola vydaná záplata. Pre spoločnosti s podporovanými platformami bolo možné zraniteľnosť zmierniť ako súčasť bežnej údržby. Pre tých na nepodporovaných platformách nebola dostupná žiadna záplata. Expozícia tak zostávala.
Zraniteľnosť sama o sebe nebola unikátna. Nové sa budú naďalej objavovať. Skutočný rozdiel bol v schopnosti reagovať.
Zrelosť kybernetickej bezpečnosti je o reakcii
Nič nevieme zaručiť, že zraniteľnosti sa nikdy neobjavia. Čo definuje zrelosť, je schopnosť konať, keď sa tak stane.
Vyžaduje si to viac než len nástroje. Vyžaduje si to riadenie, procesy a súlad medzi IT a operáciami. Vyžaduje si to jasnosť, kto vlastní riziko. Vyžaduje si to jasnú cestu aktualizácií a disciplínu ju dodržiavať.
Taktiež je potrebné si uvedomiť, že kybernetická bezpečnosť je kontinuálnou investíciou, nie jednorazovým projektom.
Normy ako ISO 27001 poskytujú štruktúrovaný spôsob práce s informačnou bezpečnosťou. Pravidelné audity, modelovanie hrozieb, bezpečné vývojové praktiky a penetračné testy všetky prispievajú k znižovaniu rizika v čase. Monitorovanie v reálnom čase SaaS prostredí a automatizované skenovanie zraniteľností pomáhajú odhaliť podozrivé správanie včas.
Ale ani najrobustnejší rámec nemôže nahradiť zastaraný, nepodporovaný softvér. Ak platforma nemôže byť aktualizovaná, nemôže byť zabezpečená.
Otázky, ktoré by si mal klásť každý tím vedenia
Pre vedúcich na úrovni C v podnikoch s intenzívnym dodávateľským reťazcom je potrebné posunúť rozhovor od technických detailov k strategickému dohľadu. Niektoré dôležité otázky na zamyslenie:
• Vieme, ktoré z našich kritických systémov dodávateľského reťazca bežia na podporovaných platformách?
• Ako rýchlo môžeme aplikovať bezpečnostné záplaty bez narušenia operácií?
• Existuje jasná, financovaná cesta na aktualizácie a modernizáciu?
• Sú IT a operácie zosúladené v otázke vlastníctva rizika a reakcie na incidenty?
• Pravidelne testujeme našu odolnosť, nielen prevenciu?
Tieto otázky nie sú IT otázkami. Sú to otázky podnikovej odolnosti.
Prečo je to teraz dôležité
Dodávateľské reťazce sú dnes viac digitálne, viac prepojené a viac automatizované než kedykoľvek predtým. Zároveň rastie geopolitická neistota a organizovaný kyberzločin. Útočníci chápu výhodu v narušovaní logistiky. Keď tovar prestane plynúť, dopad sa rýchlo rozšíri naprieč odvetviami.
Dôvera je ťažké budovať a ľahko sa stráca. Zákazníci očakávajú spoľahlivosť. Investori očakávajú stabilitu. Regulačné orgány očakávajú riadnu starostlivosť. Kybernetická bezpečnosť v logistike je preto o ochrane nielen systémov. Ide o ochranu operácií, reputácie a dlhodobej konkurencieschopnosti.
Zdieľaná zodpovednosť
Veríme, že kybernetická bezpečnosť v prostredí dodávateľského reťazca musí byť považovaná za spoločnú zodpovednosť medzi poskytovateľmi technológií a zákazníkmi. Predajcovia musia navrhovať bezpečné, aktualizovateľné platformy a systematicky pracovať na bezpečnosti. Zákazníci musia dávať prioritu podporovaným prostrediam a neustálemu zlepšovaniu.
Spoločne môžeme posunúť diskusiu od reakcie na incidenty k budovaniu odolnosti. Pretože skutočná otázka už nie je, či kybernetické hrozby budú naďalej rásť. Budú. Skutočná otázka je, či sú naše dodávateľské reťazce pripravené reagovať. A to je rozhodnutie vedenia.
