Just Food: Технологии делают пищевую промышленность уязвимой перед угрозой кибербезопасности
«Это было разрушительно для подразделения свежих фруктов и овощей и, в частности, для нашего чилийского бизнеса», — заявил на прошлой неделе генеральный директор Рори Бирн аналитикам и инвесторам во время объявления финансовых результатов компании за 2022 год. «Что еще более положительно, мы быстро перешли к сдерживанию угрозы и привлекли ведущих сторонних экспертов по кибербезопасности, и мы будем работать в партнерстве с их внутренними командами для устранения проблемы и обеспечения безопасности систем».
Пищевая промышленность столкнулась с серией кибератак в последние годы. Например, в 2022 году канадская компания Maple Leaf Foods сообщила о «всеобъемлющем» нарушении безопасности, которое сильно повлияло на ее операции. Исполнительный председатель группы, Майкл Маккейн, отметил, что инцидент затронул бизнес разными способами, вынудив компанию перейти на ручной режим работы. В то же время в Германии Apetito и британская KP Snacks также пострадали от кибератак.
В прошлом году компанию JBS, крупнейшего мясного производителя в мире, атаковали программой-вымогателем, приведя к нарушению работы компании в Северной Америке и Австралии. Впоследствии стало известно, что JBS выплатила банде вымогателей 11 миллионов долларов США за публикацию своих файлов.
И это только те атаки, о которых мы знаем. По данным Malwarebytes, в 2020 году количество кибератак на сектор пищевой промышленности и сельского хозяйства выросло на 607%. В 2021 году ФБР опубликовало уведомление для частных компаний, предупреждая сектор пищевой промышленности о риске атак программ-вымогателей, а в последний квартал прошлого года американская компания кибербезопасности Dragos сообщила, что сектор пищевых и напитков стал жертвой большего количества атак, чем любой другой сектор.
Угроза кибербезопасности для пищевой промышленности растет
Оценить уровень угрозы продовольственным компаниям со стороны киберпреступников непросто. Из-за деликатного характера темы и потенциального ущерба, как финансового, так и репутационного, который могут нанести кибератаки, руководители не любят обсуждать эту тему.
Как поясняет Джон Хоффман, старший научный сотрудник Института защиты и защиты пищевых продуктов Университета Миннесоты: «Немногие такие атаки предаются гласности из-за соображений защиты бренда. Атаки, подобные той, что нацелена на JBS, являются исключением. В этом случае остановки были настолько обширными, что событие нельзя было отрицать».
Угроза кибератак для пищевой промышленности не является новой угрозой, но она растет, развивается и становится все более серьезной, по словам Сью Ньютон, руководителя отдела продуктов питания и напитков Великобритании в крупной страховой компании WTW.
«Мы наблюдаем существенные убытки компаний в этом секторе от атак программ-вымогателей, в том числе нескольких мировых производителей продуктов питания, в результате чего одному бренду пришлось заплатить многомиллионный выкуп, чтобы восстановить свою деятельность», — говорит Ньютон.
Угроза возросла из-за пандемии, когда многие компании в одночасье перешли на удаленную и гибридную работу, не успев внедрить соответствующие протоколы и системы безопасности.
До начала пандемии Covid-19 пищевая промышленность уже шла к широкому использованию автоматизации, робототехники, искусственного интеллекта и Интернета вещей (IoT) в виде датчиков на производственных цехах. Однако пандемия ускорила этот процесс и, следовательно, увеличила уровень риска, так как использование этих технологий привело к появлению множества уязвимостей, которые ранее не привлекали внимания пищевых компаний.
«Проблема с индустрией продуктов питания и напитков заключается в том, что они считаются более уязвимыми, поскольку операционные технологии, лежащие в основе производства, расширились, но меры кибербезопасности для предприятий в этом секторе не были должным образом учтены, поэтому многим компаниям теперь приходится играть в догонялки. — объясняет Ньютон.
В отличие от других секторов, которые за последние несколько лет активно занимались кибербезопасностью в ответ на регулирование, производители продуктов питания и напитков не получили тех же импульсов, что привело к недостаточным инвестициям в кибербезопасность в некоторых предприятиях, что делает их более уязвимыми перед киберпреступниками.
Хоффман говорит, что отчасти проблема заключается в том, что правительство уделяет недостаточно внимания снижению киберрисков, угрожающих продовольственному и сельскохозяйственному сектору, по сравнению с вниманием, уделяемым кибербезопасности в финансовом, химическом, энергетическом и транспортном секторах. Поэтому продовольственные компании рассматриваются как более мягкие цели, добавляет он.
«Кроме того, кибер-мошенники осознали, что многим мелким и средним пищевым и сельскохозяйственным фирмам не хватает собственного опыта в области ИТ, они используют старые системы и подключены через Интернет к более крупным и богатым фирмам в цепочках поставок. . Таким образом, они предлагают путь в системы других фирм».
Это мнение разделяет Джейсон Ванденберг, руководитель отдела продаж услуг кибербезопасности американского поставщика услуг автоматизации Rockwell Automation . Ванденберг говорит, что угроза кибербезопасности уже некоторое время находится в поле зрения крупных пищевых компаний, но небольшие продовольственные группы и поставщики крупных групп изо всех сил пытаются смириться с этой проблемой.
«Они понимают - из-за того, что они представляют собой небольшую региональную компанию по производству продуктов питания и напитков с четырьмя-пятью заводами по сравнению с крупным многонациональным конгломератом со 100 заводами, они не становятся менее мишенью», — говорит Ванденберг. «На самом деле, мы бы сказали, что мы видели больше кибератак, нацеленных на малые и средние компании, потому что у них нет такого же уровня бюджета, как у крупных предприятий, а их устаревшие системы такие же незащищенные и небезопасные, как и любые другие. Злоумышленники могут добиться большего прогресса в таких условиях, чем с крупными компаниями».
Цифровизация создает уязвимость
А более широкое использование автоматизации в таких областях, как пищевая промышленность и точное земледелие, только усугубило проблему.
«Следствием стремления к автоматизации является то, что многие компоненты, контролируемые/управляемые кибербезопасностью, на самом деле представляют собой устаревшие системы, которые все еще полагаются на устаревшие ОС, но все еще функционируют достаточно надежно, даже если они уязвимы для эксплуатации и атак», — говорит Хоффман.
«Изменение/обновление всех их по всему сектору будет серьезной проблемой. И эта автоматизация действительно растет по мере роста стоимости рабочей силы и множества проблем с персоналом. По мере совершенствования робототехники все больше функций также автоматизируются, а усилия по сокращению отходов, снижению затрат и даже решению проблемы воздействия на климат, такие как сокращение потребления воды и выбросов, становятся более приоритетными».
Цели злоумышленников, нацеленных на пищевой сектор, варьируются от сбоев в цепочке поставок и развертывания программ-вымогателей до кражи IP-адресов.
«Мы знаем, что в Китае киберпреступники сосредоточены на интеллектуальной собственности, чтобы узнать, кто что кому продает, за сколько и откуда», — говорит Хоффман. «Это дает им цели для использования или даже самые выгодные для покупки в продовольственной и сельскохозяйственной инфраструктуре США».
По словам Ньютона, большинство продовольственных компаний прекрасно осознают опасность кибератак, но не обязательно имеют доступ к нужным ресурсам или доходам для предотвращения инцидентов кибербезопасности.
«Ранее производственная линия была бы в значительной степени независима от ИТ-среды, поэтому, если бы была какая-либо злонамеренная активность, производство могло бы продолжаться. А поскольку в отрасли наблюдается меньше надзора за кибербезопасностью со стороны регулирующих органов, меньше необходимости повышать безопасность и снижать риски.
Кроме того сообщается, что по мере того, как технологии все больше интегрируются в производственную среду, в некоторых случаях эти инновации и операционные среды внедряются, эксплуатируются и управляются не только экспертами по кибербезопасности, а и специалистами по производству или ИТ-подразделением, которые конкретно не владеют кибербезопасности в бизнесе, что означает, что они не принимают правильных мер, что делает их более уязвимыми для атак. Также непросто привлечь и удержать профессионалов в области кибербезопасности на нынешнем высококонкурентном рынке.
Многие пищевые компании пытаются решить эту проблему. Опрос, проведенный Ассоциацией пищевой промышленности США в прошлом году, показал, что 85% продовольственных компаний увеличили свои бюджеты на кибербезопасность в ответ на растущую угрозу.
Кристин Деморанвиль, генеральный директор и основатель AnzenSage заявил: «Многие компании, возможно, не делают достаточно для того, чтобы защитить себя».
По словам Деморанвилля, производители продуктов питания должны учитывать несколько факторов при реализации стратегии снижения риска кибератак. «Прежде всего, они должны убедиться, что у них есть традиционные надежные меры кибербезопасности, брандмауэры, антивирусное программное обеспечение и системы обнаружения вторжений», — говорит он.
«Они также должны регулярно обновлять и исправлять свое программное обеспечение, чтобы безопасно устранять известные уязвимости в своих производственных средах. Кроме того, производители продуктов питания должны убедиться, что их сотрудники обучены передовым методам кибербезопасности и осведомлены о рисках, связанных с фишинговыми электронными письмами и другими методами социальной инженерии. Наконец, производители продуктов питания нуждаются в комплексном реагировании на инциденты и планах обеспечения непрерывности бизнеса, чтобы быстро и эффективно реагировать на кибератаки».
Также жизненно важен постоянный мониторинг угроз кибератак. Как говорит Колин Танкард, управляющий директор британской компании Digital Pathways, для взлома требуется несколько минут, но на обнаружение ошибки могут уйти месяцы.
«Там, где мы работали в розничной торговле, мы видели некоторые компании, у которых нет некоторых из этих средств контроля и некоторых из этих проверок для отслеживания необычного поведения, — говорит Танкард. — Удивительно, но даже более крупные организации склонны выделять больше денег в ИТ для поддержания бизнеса, и не обязательно для обеспечения безопасности. Это как-бы второстепенное. Но организациям действительно нужно следить за тем, что происходит».
«Это сводится к просмотру ваших журналов. Это могут быть журналы с серверов, с вашего веб-сайта, из вашей CRM-системы, из ваших брандмауэров, просто чтобы увидеть, не происходит ли что-нибудь необычное. И поскольку в бизнес поступает много данных, вы должны действительно поместить эту информацию в какую-то систему SEIM [система управления информацией о безопасности предприятия], которая расставит все по правильным категориям, чтобы вы могли видеть закономерность».
Не капитулируйте
Эксперты по кибербезопасности говорят, что если компания все же окажется жертвой атаки, то пищевые компании не должны капитулировать перед требованиями хакеров и платить выкуп.
Как говорит Танкард: «Если они знают, что вы заплатили один раз, они знают, что вы заплатите еще раз, поэтому они просто вернутся и постучат в вашу дверь. Даже если вы заплатите, вы никогда не будете уверены, что все плохое убрано».
Ванденберг из Rockwell соглашается. «Я еще не видел, чтобы компания платила выкуп и успешно выходила вперед. Мы видим компании, которые все еще вынуждены платить судебные издержки через три-пять лет после атаки, потому что теперь на них подает в суд кто-то, чьи данные могли быть раскрыты».
Он говорит, что Rockwell обнаружила растущее неприятие компаний к выплате выкупов хакерам, а некоторые правительства по всему миру, как сообщается, рассматривают возможность введения прямого запрета на платежи программ-вымогателей.
Это угроза, которая не исчезнет в ближайшее время, и в результате те компании пищевой промышленности, которые еще не внедрили свои протоколы кибербезопасности, должны серьезно отнестись к проблеме, иначе они рискуют стать жертвой атака, которая может быть разрушительной, предупреждает Деморанвиль.
«Угроза кибератак для производителей продуктов питания является серьезной проблемой, требующей серьезности», — говорит она. «Пищевая промышленность сталкивается с критическими ситуациями из-за растущей цифровизации сектора, которая расширила поверхность атаки для киберпреступников и создала для них больше возможностей для использования уязвимостей. Хотя многие производители продуктов питания предпринимают шаги, чтобы защитить себя, есть возможности для улучшения».
Сообщается, что для компаний, работающих, по крайней мере, в Северной Америке, привлекательная линия расходов появилась после объявления результатов Dole на прошлой неделе, когда Бирн признал, что компания не рассчитывает возместить потерянные продажи, в том числе за счет страхования. «Я полагаю, что простой ответ на этот вопрос — нет», — сказал он аналитику. «Страхование непозволительно — в настоящее время вы не можете получить страховку в Северной Америке для кибербезопасности».