Er ESG-data det neste målet for ransomware-aktører?
Innholdsfortegnelse:
Som en berømt frosk en gang sa, det er ikke lett å være grønn. I slutten av januar, rapporter oppdaget av et løsepenge-angrep på Sustainability Business-divisjonen til Schneider Electric, som reiser spørsmålet: hvor verdifullt et mål er bedriftens bærekraftsdata? Ettersom organisasjoner for alvor tar fatt på strategier for miljø, sosial og styring (ESG), kan det hende de må gjøre mer for å holde denne informasjonen låst.
Hva skjedde hos Schneider Electric?
Cactus ransomware-gruppen hevdet å ha 1.5 TB av selskapets data, og truet med å frigi det offentlig hvis det franske multinasjonale ikke betalte. En måned senere, det publisert 25MB av data for å drive hjem trusselen. Det er fortsatt ikke kjent om Schneider Electric har betalt løsepenger for dataene, og heller ikke om Cactus krypterte informasjonen samtidig som den stjal den, som er dens generelle modus operandi.
Schneider Electric har vært utsatt for et løsepenge-angrep tidligere; Clop-gjengen fikk tilgang til noen av dataene sine i mai 2023 som en del av angrepet på Progress Softwares MOVEit-filoverføringstjeneste, som støvsugde tusenvis av selskapers informasjon.
Denne gangen fokuserte angrepet på én spesifikk divisjon. Divisjonen Sustainability Business er en virksomhet innen Schneider Electric som fokuserer på et relativt nytt marked: innsamling og rapportering av bærekraftsdata.
Et økende behov for ESG-data
Bærekraftsdata representerer "E" i ESG, en voksende bevegelse for å gjøre selskaper mer ansvarlige for deres effekt på planeten og samfunnet. Bærekraftssiden omhandler beregninger inkludert forbruk (av ressurser som energi og vann), sammen med utslipp (vanligvis av klimagasser).
Disse dataene er nyttige for investorer som i økende grad scorer selskaper på ESG-resultater. Investeringsforvaltningsselskap Capital Group funnet at ni av 10 investeringseksperter globalt vurderer ESG i sine strategier, med 57 % som tror at det kan avdekke attraktive investeringsmuligheter. Imidlertid sier 54 % av dem at disse dataene er vanskeligere å få tak i. Jo mer av det investorer har, desto mer komfortable føler de å sette penger inn i disse selskapene
.Annet press får selskaper til å fokusere på bærekraftsrapportering. I EU er Direktiv om rapportering om bærekraftig virksomhet (CSRD) vil håndheve European Sustainability Reporting Standards (ESRS), ved å bruke mer detaljert bærekraftsrapportering på EU-selskaper eller de som opererer i blokken.
For å forstå verdien av bærekraftsdataene som støtter disse initiativene, følg pengene. De fire store driver aktivt med datadrevet bærekraftsvirksomhet. Deloitte investert 1 milliard dollar i sin bærekraft- og klimapraksis i april 2022, og tilbyr en bærekraftsanalysetjeneste praksis som hjelper kunder med å overvåke ressursbruk både internt og på tvers av forsyningskjedene deres. EY, KPMG og PwC tilbyr alle tjenester for å lage en bærekraftsstrategi og deretter integrere driftsdata for å støtte den.
En ekspanderende angrepsflate
Innsamling og rapportering av disse dataene skaper flere risikoer for selskaper:
Datadybde og bredde
Bedrifter høster et bredt spekter av driftsdata fra sine egne anlegg, alt fra strømforbruket til individuelle maskiner til avfallsproduksjon, drivstoffmengder og flåtetall.
Noen, som PwC, advokat datainnsjøer som vil inneholde en blanding av drifts-, biologisk mangfold og sikkerhetsdata. Disse vil bli gift med andre datainnsjøer som inneholder kunde- og markedsinformasjon, sammen med data fra ERP-systemer, IoT-sensorer og til og med HR-data. Den ser for seg at all denne informasjonen flyter gjennom verktøy for bærekraftsrapportering.
Dataomfang
Den andre trusselen er omfanget av dataene som samles inn, som strekker seg utover en organisasjons proprietære virksomhet til leverandørenes data. PwCs modell for bærekraftsdata inkluderer tredjepartsinformasjon fra andre i bedriftens forsyningskjede.
Angrepet på Schneider Electric kompromitterte deres EcoStruxure Resource Advisor-plattform. Det er et skybasert system som samler inn og analyserer data om anleggsdrift og forsyningskjeder. Dette gjør det mulig for kunder å overvåke og forutsi energiforbruk, og generere utslippsrapporter. Kampanjematerialet sier stolt at det ikke bare henter kundens egne datastrømmer, men også data fra tredjepartsleverandører.
Datasentralisering
Selskaper som Schneider Electric jager fortjeneste fra bærekraftsdatatjenester ved å ta innsamlingen og analysen av disse dataene fra kundenes hender. Dette gjør disse bærekraftsdatatjenesteleverandørene til et attraktivt mål for nettkriminelle som ønsker å høste store mengder av denne verdifulle kundeinformasjonen. Schneider Electrics bærekraftsenhet nummererte flere verdifulle selskaper blant sine kunder, inkludert Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo og Walmart.
Hvordan holde seg trygg i jakten på bærekraft
Det er ikke klart om angrepet på Schneider Electric var målrettet eller bare en heldig ulykke for opportunistiske tyver, men uansett er disse sensitive dataene helt klart et verdifullt mål. Så hva kan bedrifter gjøre for å beskytte seg selv?
Å vurdere leverandører for effektiv sikkerhetspraksis er nøkkelen, inkludert å evaluere sertifiseringene deres for cybersikkerhetskontroller. Disse sertifiseringene garanterer imidlertid ikke 100 % sikkerhet. Andre tiltak kan redusere sannsynligheten for datatyveri.
Det er viktig å opprettholde en sterk databeholdning – å holde styr på alle data som deles, og tydelig dokumentere hvilke typer sensitiv informasjon en tredjeparts tjenesteleverandør har tilgang til. Å etablere protokoller for å håndtere tilgangsrisiko, både av tredjeparts tjenesteleverandører og internt, er også god sikkerhetspraksis.
Enten du handler med en tredjeparts tjenesteleverandør eller samler og oppbevarer alle dataene internt, er beskyttelse mot løsepengevare avgjørende. Dette betyr å sette på plass kontroller, for eksempel grunnleggende endepunktdeteksjon og forebygging til administrert deteksjon og respons (MDR). Grunnleggende cyberhygiene, inkludert rettidige sikkerhetsoppdateringer og sluttbrukeropplæring, er også nyttige forsvarslinjer.
ESG-data blir en stadig mer tiltalende ressurs for nett-skurker, enten de fanger det vilkårlig i garnene sine eller søker etter det med vilje. Effektive cybersikkerhetstiltak som er godt dokumentert vil gå en lang vei mot å beskytte denne nye juvelen i kronen.
