Legalne aplikacje jako broń – cyberprzestępcy wykorzystują luki w łańcuchach dostaw

Ataki na łańcuchy dostaw oprogramowania rosną w siłę. Coraz więcej legalnych aplikacji staje się narzędziem cyberprzestępców. Eksperci z F5, międzynarodowej firmy specjalizującej się w rozwiązaniach z zakresu bezpieczeństwa IT, radzą: nie ufaj, weryfikuj każdy komponent.

Coraz więcej ataków na łańcuchy dostaw oprogramowania ujawnia, jak kruche są współczesne systemy IT. Tylko w 2024 roku brytyjskie NCSC odnotowało prawie 2000 cyberataków, z czego 12 uznano za „wysoce poważne”. Według ENISA, do 2030 roku ataki tego typu będą jednym z głównych zagrożeń dla Unii Europejskiej.

Dawniej cyberprzestępcy wykorzystywali głównie luki w systemach lub nieuwagę użytkowników. Dziś coraz częściej atakują przez zaufane źródła – legalne aktualizacje czy popularne biblioteki open source. Jak tłumaczy Mariusz Sawczuk z F5: „To jak ciasto od znajomego – nie spodziewasz się, że może być zatrute. Zaufanie do dostawców oprogramowania staje się śmiertelnie niebezpieczne”.

Atak na łańcuch dostaw polega na wprowadzeniu złośliwego kodu do komponentu, który jest częścią większej aplikacji. Użytkownik instaluje legalne oprogramowanie, nieświadomie uruchamiając „trojana”. Przykładem jest atak na SolarWinds w 2020 roku, który dotknął agencje rządowe USA i firmy prywatne. W 2021 roku ransomware rozprzestrzeniony przez Kaseya sparaliżował setki firm, w tym sieć sklepów Coop w Szwecji.

Skala problemu rośnie. Cybersecurity Ventures szacuje, że w 2025 roku globalny koszt ataków na łańcuchy dostaw przekroczy 60 miliardów dolarów, a do 2031 roku sięgnie 138 miliardów. Brytyjskie National Audit Office ostrzega, że ponad 58 krytycznych systemów IT rządu Wielkiej Brytanii ma poważne luki w zabezpieczeniach.

Eksperci wskazują, że skuteczna obrona wymaga zmiany podejścia. Model Zero Trust zakłada, że żadna część systemu nie jest domyślnie bezpieczna – każdy komponent i użytkownik musi być stale weryfikowany. Kluczowe są mechanizmy sandboxingu, segmentacja sieci, skanowanie kodu i audyty dostawców. „Zaufanie trzeba zdobywać codziennie. I to pod mikroskopem” – podkreśla Sawczuk.