COVID-19ワクチン接種の取り組みに対するOpSecの脅威との戦い:私たちは何ができるでしょうか?

COVID-19ワクチンは、数か月前から展開されていますが、パンデミックの性質と影響を受ける人々の数は、これらのワクチンの需要が非常に大きいことを意味します。そして、セキュリティ分野の私たち​​の人々は、希少なリソースに対する高い需要が見られるときはいつでも、攻撃者が利用しようとしていることを知っています。

OpSecはCOVID-19を脅かします

この2部構成のシリーズでは、予防接種の取り組みを危険にさらすさまざまな種類のセキュリティの脅威を調査しています。では最初の記事は、我々はサイバーセキュリティリスクについて書きました。これでは、サプライチェーンに対する運用セキュリティの脅威について詳しく説明します。ワクチンに対する高い需要は、供給とその流通への干渉を強制と恐喝のための優れたレバレッジにします。

人々はワクチンのサプライチェーンをどのように脅かしていますか?

ワクチンの輸送と保管には、非常に特殊な条件が必要です。これらの条件を維持すると、サプライチェーンの要素を強要するために悪用される可能性のある大きな圧力が発生します。たとえば、ファイザー-BioNTechワクチンには、冷蔵サプライチェーンよりも壊れやすく高価な低温制御のサプライチェーンが必要です。アストラゼネカのワクチンは通常の冷蔵庫に保管して輸送できるため、ロジスティクスが安価になり、混乱に対する耐性が高まります(ただし、耐性はありません)。

サプライチェーンのさまざまな要素には、誰がいつ、どのくらいワクチンを接種しているかなど、有用な情報も含まれています。これらのスパイの標的は、APT29やコージーベアなどの国民国家の脅威アクターを引き付けます。これらの脅威アクターは、これらの比較的ソフトなターゲットによって表されるインテリジェンス値を確認します。これは、通常の情報操作の数分の1のコストで、わずかなリスクで取得できるインテリジェンス値です。

ロジスティクスチェーンへの脅威はすでに見ています。ありがたいことに、これまでのところ規模は小さいです。ただし、2020年12月のコールドチェーン攻撃や2021年1月のフロリダ水処理攻撃などの攻撃のレンズを通してそれらを見ると、攻撃者がサプライチェーンの重要な側面にアクセスした場合に何が起こる可能性があるかがますます明らかになります。 。このような資源供給に対する攻撃は目新しいものではありません。中世以来、私たちは井戸を(文字通りそして比喩的に)毒殺してきました。

サプライチェーンの最も脆弱な側面は次のとおりです。

  • ワクチンの物理的供給人間がワクチンの大量貯蔵に直接または間接的にアクセスできる場合はいつでも、攻撃者が供給を破壊する可能性があります。これは、情報運用にガソリンを注ぐために二次的な危害を引き起こす汚染などの他の影響と組み合わせることができます。
  • ワクチン製造の産業的手段
    これらのタイプの攻撃は、産業革命が始まった当初からよく知られており、理解されている脅威でした。ワクチンが大量に製造または保管されている場合は常に、攻撃者がワクチンを汚染または妨害する可能性があります。このベクトルは、発見されるまでに長い時間がかかる可能性があり、信頼の低下や恐怖の増幅などの二次的および三次的な影響を与えるため、単純な破壊よりも深刻な影響を与える可能性がはるかに高くなります。すべてのシステムに脆弱性があります。したがって、水酸化ナトリウムを水道投棄することが可能であれば、同様の方法でワクチン製造の手段を攻撃することも可能であると考えてください。残念ながら、私たちのサプライチェーンと産業施設はひどく露出しており、適切な防御策を講じるには時間がかかります。私たちのサプライチェーンとリンクされたプロセスの多くは暗黙の信頼に基づいて構築されており、私たちがさらされているリスクの全体像を十分に理解するための可視性が不足しています。

これらの運用セキュリティの脅威をどのように防ぐことができますか?

私たちのワクチンサプライチェーンは暴露され、まとまりがありません。情報はロジスティクスの生命線であり、断片化は効果的な調整を妨げます。正確でタイムリーな情報に支えられたワクチンロジスティクスのまとまりのあるトップダウン計画を確実に立てることで、ワクチンのサプライチェーンを劇的に改善できます。

デジタルアイデンティティに固定された真のデジタルレコードシステムの最終的な目標は少し離れていますが、必要な部分を配置し始めることができ、今日学んでいる教訓を活用してそれを構築することができます。これが私たち全員がとるべき軌道であることは、各国のパフォーマンスから明らかです。デジタル記録と効果的な情報チェーンを備えた国々は、ロジスティクスがはるかに優れているため、できるだけ多くの人々にできるだけ早く予防接種を行うという目標を達成することに成功しています。反対に、時代遅れの記録管理と断片化された医療サービスを持つ国々は苦労しています。

より安全でインテリジェントなアーキテクチャに移行できるようになるまでは、リスクを認識して追跡することに集中する必要があります。サプライチェーンがどのように構成されているかを理解する方法を考え出す必要があります。また、暗黙の信頼に依存することをやめる必要があります。サプライヤーが精査されているからといって、それが自社のすべてのサプライヤーを認識し、精査しているとは限りません。現代のサプライチェーンには多くの抽象化層があり、したがって多くの弱いリンクがあります。どちらかといえば、リスクは多くの人が認識しているよりもはるかに深刻です。

ShodanのWebサイトを見て、インターネットに直接公開されている産業用制御システムの数を確認すると、このことの明確な証拠を確認できます。これらの重要なシステムを適切に防御するために、私たちは本当にリスクを検討し始める必要があります。そして最も重要なことは、私たちが依存している企業やメーカーと正直で、おそらく不快な会話をする必要があります。オープンソースインテリジェンス(OSINT)ツールを使用して会社やサプライヤーを調べる場合、何を見つけますか?単純な事実は、現在、犯罪者は私たちよりも私たちのリスクを評価することに優れているということです。

ワクチンのサプライチェーンを攻撃から保護することは、2021年の主要な取り組みの1つであるはずです。過去数週間で、これまでに記録された最大のサプライチェーン攻撃のいくつかを見てきました。もっとあります。犯罪者や敵対的な国民国家は、これらの攻撃がどれほど成功するかについての青写真を見てきたので、模倣攻撃が進行中であることが事実上保証されています。