Is ESG Data die volgende teiken vir ransomware-akteurs?
INHOUDSOPGAWE:
Soos 'n bekende padda eenkeer gesê het, dit is nie maklik om groen te wees nie. Aan die einde van Januarie, verslae opgeduik van 'n losprysaanval op die Sustainability Business-afdeling van Schneider Electric, wat die vraag laat ontstaan: hoe waardevol 'n teiken is korporatiewe volhoubaarheidsdata? Namate organisasies in alle erns met omgewings-, maatskaplike en bestuurstrategieë (ESG) begin, sal hulle dalk meer moet doen om hierdie inligting toegesluit te hou.
Wat het by Schneider Electric gebeur?
Die Cactus ransomware-groep het beweer dat hulle 1.5 TB van die maatskappy se data het, en het gedreig om dit in die openbaar vry te stel as die Franse multinasionale nie betaal nie. 'n Maand later, dit gepubliseer 25MB van data om die bedreiging huis toe te dryf. Dit is steeds nie bekend of Schneider Electric 'n losprys vir die data betaal het nie, en ook nie of Cactus die inligting geënkripteer het terwyl hy dit ook gesteel het nie, wat sy algemene modus operandi is.
Schneider Electric het al voorheen 'n losprysware-aanval gehad; die Clop-bende het in Mei 2023 toegang tot van sy data gekry as deel van die aanval op Progress Software se MOVEit-lêeroordragdiens, wat duisende maatskappye se inligting opgesuig het.
Hierdie keer het die aanval op een spesifieke afdeling gefokus. Die Volhoubaarheidsbesigheid-afdeling is 'n onderneming binne Schneider Electric wat fokus op 'n relatief nuwe mark: die insameling en verslagdoening van volhoubaarheidsdata.
'n Groeiende behoefte aan ESG-data
Volhoubaarheidsdata verteenwoordig die "E" in ESG, 'n groeiende beweging om maatskappye meer aanspreeklik te maak vir hul uitwerking op die planeet en die samelewing. Die volhoubaarheidskant handel oor maatstawwe, insluitend verbruik (van hulpbronne soos energie en water), tesame met emissies (tipies van kweekhuisgasse).
Hierdie data is nuttig vir beleggers wat maatskappye toenemend op hul ESG-prestasie aanteken. Beleggingsbestuursmaatskappy Capital Group gevind dat nege uit 10 professionele beleggingskundiges wêreldwyd ESG in hul strategieë oorweeg, met 57% wat glo dat dit aantreklike beleggingsgeleenthede kan ontbloot. 54% van hulle sê egter dat hierdie data moeiliker is om te kry. Hoe meer beleggers daarvan het, hoe meer gemaklik voel hulle om geld in hierdie maatskappye te plaas
.Ander druk veroorsaak dat maatskappye op volhoubaarheidsverslagdoening fokus. In die EU is die Richtlijn oor verslagdoening oor korporatiewe volhoubaarheid (CSRD) sal die afdwing Europese Volhoubaarheidsverslagdoeningstandaarde (ESRS), die toepassing van meer gedetailleerde volhoubaarheidsverslagdoening oor EU-maatskappye of dié wat in die blok werksaam is.
Om die waarde te verstaan van die volhoubaarheidsdata wat hierdie inisiatiewe ondersteun, volg die geld. Die Groot Vier streef aktief na datagedrewe volhoubaarheidsbesigheid. Deloitte belê $1 miljard in sy Volhoubaarheid- en Klimaatpraktyk in April 2022, en bied 'n volhoubaarheidsontledingsdiens praktyk wat kliënte help om hulpbrongebruik sowel intern as oor hul voorsieningskettings te monitor. EY, KPMG en PwC bied almal dienste aan om 'n volhoubaarheidstrategie te skep en dan bedryfsdata te integreer om dit te ondersteun.
'n Uitbreidende aanvalsoppervlak
Die insameling en rapportering van hierdie data skep verskeie risiko's vir maatskappye:
Data diepte en breedte
Maatskappye oes 'n wye reeks bedryfsdata van hul eie fasiliteite af, wat wissel van die kragverbruik van individuele masjiene tot afvalproduksie, brandstofhoeveelhede en vlootgetalle.
Sommige, soos PwC, advokaat datamere wat 'n mengsel van bedryfs-, biodiversiteits- en veiligheidsdata sal bevat. Hulle sal getroud wees met ander data-mere wat kliënte- en markinligting bevat, tesame met data van ERP-stelsels, IoT-sensors en selfs HR-data. Dit beoog dat al hierdie inligting deur middel van volhoubaarheidsverslagdoening vloei.
Data omvang
Die ander bedreiging is die omvang van die data wat ingesamel word, wat verder strek as 'n organisasie se eie bedrywighede tot by hul verskaffers se data. PwC se model vir volhoubaarheidsdata sluit derdeparty-inligting van ander in die korporatiewe voorsieningsketting in.
Die aanval op Schneider Electric het sy EcoStruxure Resource Advisor-platform in die gedrang gebring. Dit is 'n wolkgebaseerde stelsel wat data oor fasiliteitbedrywighede en voorsieningskettings insamel en ontleed. Dit stel kliënte in staat om energieverbruik te monitor en te voorspel, en emissieverslae te genereer. Sy promosiemateriaal verklaar met trots dat dit nie net sy kliënte se eie datavoere verkry nie, maar ook data van derdeparty-verskaffers.
Datasentralisasie
Maatskappye soos Schneider Electric jaag winste uit volhoubaarheidsdatadienste na deur die versameling en ontleding van hierdie data uit kliënte se hande te neem. Dit maak hierdie diensverskaffers van volhoubaarheidsdata 'n aantreklike teiken vir kubermisdadigers wat groot volumes van hierdie waardevolle kliëntinligting wil oes. Schneider Electric se volhoubaarheidseenheid het verskeie hoëwaardemaatskappye onder sy kliënte getel, insluitend Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo en Walmart.
Hoe om veilig te bly in die strewe na volhoubaarheid
Dit is nie duidelik of die aanval op Schneider Electric geteiken was of net 'n gelukkige ongeluk vir opportunistiese diewe nie, maar in elk geval is hierdie sensitiewe data duidelik 'n waardevolle teiken. So, wat kan maatskappye doen om hulself te beskerm?
Die beoordeling van verskaffers vir effektiewe sekuriteitspraktyke is die sleutel, insluitend die evaluering van hul kuberveiligheidskontrolesertifisering. Hierdie sertifisering waarborg egter nie 100% sekuriteit nie. Ander maatreëls kan die waarskynlikheid van datadiefstal verminder.
Dit is belangrik om 'n sterk data-inventaris te handhaaf - om tred te hou met enige data wat gedeel word, en die tipe sensitiewe inligting wat 'n derdeparty-diensverskaffer toegang het, duidelik te dokumenteer. Die daarstelling van protokolle om toegangsrisiko te bestuur, beide deur derdeparty-diensverskaffers en intern, is ook goeie sekuriteitspraktyk.
Of u nou met 'n derdeparty-diensverskaffer handel of al die data intern versamel en hou, beskerming teen losprysware is van kardinale belang. Dit beteken om kontroles in plek te stel, soos basiese eindpuntopsporing en -voorkoming tot bestuurde opsporing en reaksie (MDR). Basiese kuberhigiëne, insluitend tydige sekuriteitsopdaterings en opleiding vir eindgebruikers, is ook nuttige verdedigingslinie.
ESG-data word 'n toenemend aanloklike bate vir aanlyn skelms, of hulle dit nou onoordeelkundig in hul nette vang of dit doelbewus uitsoek. Doeltreffende kuberveiligheidsmaatreëls wat goed gedokumenteer is, sal baie help om hierdie nuwe juweel in die kroon te beskerm.
