Poslední dobou se stále více ukazuje, jak velkým problémem jsou dodavatelské řetězce ve výrobě i operativě. Západ, a obzvláště pak Evropská unie, si zvykl dovážet velké množství výrobků a polotovarů ze zahraničí, a to do té míry, že plně ztratil některé schopnosti a znalosti. Tato situace má pak řadu dopadů, z nichž některé se zásadním způsobem projevují i v kybernetické bezpečnosti.
Asi nejvíce viditelným dopadem dnes je nedostatek čipů, což má za důsledek odstávky v automobilovém průmyslu a parkoviště plné aut, která není možné dokončit. Tyto problémy se však zdaleka netýkají jen automobilového průmyslu. Chybějící součástky se projevují i v dalších odvětvích včetně IT, kde některá zařízení není možné zakoupit v potřebném čase nebo množství.
Pokud by však závislost Západu na dodávkách čipů z asijsko- -pacifické oblasti byla jenom o dopadu na dostupnost, byla by situace ještě dobrá. Připomeňme si však jiný incident z poslední doby pramenící z nedostatečně řízeného dodavatelského řetězce, a to SolarWinds hack.
Situace v tomto případě byla úplně jiná. SolarWinds je americká společnost dodávající mimo jiné řešení Orion pro monitorování síťového výkonu. Využívalo jej množství amerických ministerstev a organizací včetně DHS a US Treasury Department. V prosinci 2020 se zjistilo, že řešení Orion bylo infikováno malwarem, který byl pak jako jeho součást distribuován ke koncovým zákazníkům v rámci pravidelných updatů. Mezi zasažené společnosti se počítá také bezpečnostní firma FireEye, která jako první útok objevila ve svých systémech. Poslední vyšetřovací verze předpokládá, že útočníci byli státem sponzorovaní ruští hackeři.
Proč dávat do souvislosti zdánlivě nesouvisející závislost Západu na čipech a dalších výrobcích převážně z Asie a útok na čistě americkou společnost vedený pravděpodobně ruskými útočníky? Souvislost je právě v dodavatelských řetězcích. V kybernetickém prostoru se stále častěji sofistikované útoky nevedou přímo na koncový cíl, ale místo toho se využívá útoků na jejich dodavatele. Zároveň je velká část takových útoků sponzorována Státy, a je součástí kybernetické špionáže.
Dnešní hardware už také dávno není samostatným nemodifikovatelným prvkem. Většina součástí moderního počítače, ať už serverového, nebo osobního, má firmware, který je pravidelně updatován, a je tak ideálním vektorem pro útok. Pokud je většina těchto součástek vyráběna mimo Evropu, je výrazně složitější zajistit jakýmkoli způsobem bezpečnost a důvěryhodnost těchto komponent.
Příští útok typu SolarWinds pak může být mnohem kritičtější a složitější jak na odhalení, tak na opravu. Pokud bude kompromitován například čip pro síťovou komunikaci, bude se jednat o útok zasahující obrovské množství firem.
Jaká jsou tedy řešení? Nejvíce nasnadě je návrat alespoň části výrobních řetězců zpět do Evropy. Není reálné očekávat, že Evropa bude schopna pokrýt vlastními zdroji například potřebu čipů. Je však možné mít kapacitu alespoň na nasycení kritických systémů. EU se již tímto problémem začala zabývat pod názvy Technological či Digital sovereignty, kdy se snaží podporovat lokální produkty, u kterých má větší záruky bezpečnosti. Nejedná se zde však zdaleka jen o hardware, minimálně stejným problémem jsou cloudové služby a softwarová řešení. Zároveň je potřeba investovat do již existujících technologií a bezpečnostních řešení, která máme pod kontrolou.
Věřím, že si z dnešní krize, vystupňované právě situací okolo pandemie, odneseme poučení do budoucna, že cena nemá být jediným důvodem pro rozhodování o nákupu technologií.
Dan Rosendorf
ředitel S.ICZ a.s.
