Select Page

En zero day-sårbarhet möjliggjorde för en leveranskedjeattack mot bland annat Coop och deras butiker.

 

Sårbarhet i leveranskedjan utnyttjades

Hackergruppen ReEvil rapporteras ligga bakom senaste månadens stora ransomware-attack mot ett stort antal företag. Utöver att Coop indirekt drabbades kom även svenska företag såsom Apotek Hjärtat, St1 och SJ att ha störningar som följd. 

I Coops fall använde de sig av leverantören Visma Esscom, vilka i sin tur använde en mjukvara från Kaseya (Kaseya VSA). 

Kaseya VSA används för fjärrstyrning och uppdatering av mjukvara på distans. Den körs som en on-prem server, alternativt som SaaS (Software-as-a-Service). 

Det är genom att utnyttja en zero day-sårbarhet i Kaseya VSA som hackergruppen ReEvil fick åtkomst till deras direkta kunder, däribland Visma Esscom. Detta möjliggjorde för en så kallas leveranskedjeattack mot indirekta mål som Coop och deras 100-tal butiker.

 

Vikten av att ställa krav på underleverantörer

I avtalen mellan bolag finns det rekommendationer att som certifierat ISO27001 företag kräva villkor i avtalet mellan bolagen som ställer krav på vilken sätt som respektive bolag skyddar sig mot attacker och till exempel kräva en rättighet att utföra oberoende granskningar leverantörers informationssäkerhetsarbete. 

Om man inte ställer krav på underleverantörer på samma sätt som man ställer krav på den egna verksamheten kommer man fortsatt vara sårbar för ”supply chain attacks” (leveranskedjeattacker), oberoende av hur väl som den egna organisationen byggt upp sina kontroller, processer och utbildat sin egen personal. 

Rekommendationen för åtgärd blir då fokuserad på uppdatering av alla kontrakt med underleverantörer och säkerställa att det finns villkor för informationssäkerhet i dem. 

Cypro kan hjälpa er att förhandla med era underleverantörer och föra in krav på informationssäkerhetsarbete i avtalen. Klicka här för att boka en konsultation. 

 

Av Ludwig Wideskär & Sören Rundgren, CYPRO