Hornidura-katea produktu bat diseinatu, fabrikatu eta banatzeko beharrezkoak diren baliabideen ekosistemaren konbinaketa da. Zibersegurtasunean, hornidura-kateak hardware eta softwarea, hodeiko edo tokiko biltegiratzea eta banaketa mekanismoak barne hartzen ditu.
Hornidura katearen aurkako zibererasoa, balio-katearen aurkako erasoa edo hirugarrengoena moduan ere ezaguna, software edo hardwareen garatzaile eta hornitzaileei zuzendutako mehatxu-mota da, eta iturri-kodera, eraikuntza prozesuetara edo eguneraketa mekanismoetara heltzeko helburua izaten du, malwarea hedatzeko sistemak edo baimendutako aplikazioak infektatuz.
Sarri, erasotzaileek kalteberatasunak bilatuz eta ustiatuz lortze dute helburua, jatorrizko kodeak aldatu eta malwarea konpilazio eta eguneraketa prozesuetan ezkutatzeko.
Kasu askotan, hornitzaileak ez dira ohartzen publikoari bidaltzean haien aplikazioak edo eguneraketak malware batekin infektatuta daudela, eta, beraz, eraso horren biktima posibleen kopurua oso altua da. Esaterako, imajina dezagun botila bat ur eta norbaitek eragile kutsagarri bat sartzen diola kontsumitzailearenganako bidean. Hornidura-kate osoa arriskuan egongo litzateke. Gauza bera gertatzen da erasotzaileek gailu batean malwarea edo software baten eguneraketa gaiztoa sartzen dutenean, hala nola router batean, smartphone batean... Emaitza milaka erabiltzaile edo erakundek jasoko duten amaierako produktu “kutsatua” da.
Enpresa batek hornidura-kate osoaren kontrola izatea eta bere produktu edo zerbitzuei erasorik egin ez dietela bermatu ahal izatea zaila den arren, arriskua murrizteko hainbat gomendio daude:
- Zibersegurtasuneko estrategiak etengabe gainbegiratu eta berrikustea: Kalteberatasunak eta mehatxuak etengabe aldatzen eta bilakatzen dira. Hornidura-katearen aurkako eraso bat saihesteko, erakundeen eta haien hornitzaileen zibersegurtasuneko politikak etengabe ebaluatu eta eguneratu behar dira.
- Hirugarrengoen arriskuak ebaluatzea: Hornitzaileek eta kolaboratzaileek zibersegurtasuneko arauak eta neurriak betetzen dituztela egiaztatzea.
- Arriskuen kudeaketaren eta betetzearen ziklo sakona eta etengabea mantentzea.
- Erabiltzen diren tresna pribatuen eta kode irekia dutenen inbentarioa
- Erakundearen datu sentikorretarako sarbide-politikak berrikustea, helburu zehatzetarako aukeratu dituzten erabiltzaileetara mugatzeko bakarrik.
- Baimendu gabeko softwareak instalatzeko erabiltzaileen gaitasuna mugatzea.
- Hornitzaileen kontratuetan deuseztapen-klausula egokiak txertatzea, esaterako, hornitzailearekin duten kontratua amaitzerakoan informazio konfidentzialarekin zer gertatuko den zehazteko.
- Auditoretzak egitea.
- IoT gailuen segurtasunarekin neurri gehigarriak hartzea, zibererasoak pairatzeko oso zaurgarriak baitira.
Hornitzaile-katearen aurka eskala handian eginiko erasoaren kasu bat British Airways airelineak 2018an pairatu zuena izan zen. Zibererasotzaileek bezeroek eginiko 380.000 ordainketa ingururen bankuko datuak lapurtzea lortu zuten eta kreditu-txartelen datu guztiak lortu zituzten. Erasotzaileek scripta (programa-mota bat) aldatu zuten, ordainketa egiten zuten unean txarteleko datuak lapurtzeko. Ondorioa konpainiaren ospearen krisia eta bezeroen lapurreta eskandalagarria izan ziren.
2020 urte gogoangarria izan zen hornidura-katearen aurkako erasoei dagokienez. Horietako bat bereziki esanguratsua izan zen izan zuen garrantziarengatik; SolarWinds software enpresaren aurkakoa. Orionen, fabrikatzailearen kudeaketa-tresnetako baten, eguneraketa-paketea asmo txarretarako aldatuz, erasotzaileek milaka erakundeetara sartzea lortu zuten, Estatu Batuetako Gobernuko bulegoetara eta teknologiaren hornitzaile garrantzitsuetara barne, esaterako, Cisco, FireEye, Microsoft edo Malwarebytes. Erasoaren benetako eragina ezagutzen ez den arren, kalkulatzen da 20.000 erakunde ingururi eragin ziola eta horietako batzuk garrantzitsuak izan ziren, esaterako, erasotzaileak Microsoften kode-iturrira sartu ziren. Tamaina horretako eraso baten eragina denbora askoan luzatu daiteke biktimak ohartu gabe.
Barneko eta kanpoko informazioa lapurtzeaz gain, enpresaren ospeari eragiten dion kaltea da hornidura-katearen aurkako zibereraso baten ondoriorik larrienetakoa. Erabiltzaile batek enpresa bateko plataforman bere pribatutasuna edo dirua arriskuan ikusten badu, oso zaila da berriro ere plataforma eta erakunde horrekin fidatzea.
Beharrezkoa da hornidura-kateari arreta gehiago jartzea, bere aurkako zibererasoak gorantz ari baitira. Baliteke datozen urteetan erasoen kopurua ez ezik, haien irismena eta eragina ere areagotzea.
