Zijn ESG-gegevens het volgende doelwit voor ransomware-actoren?
Inhoudsopgave:
Zoals een beroemde kikker ooit zei: het is niet gemakkelijk om groen te zijn. Eind januari, rapporten zijn opgedoken van een ransomware-aanval op de Sustainability Business-divisie van Schneider Electric, wat de vraag doet rijzen: hoe waardevol zijn bedrijfsgegevens over duurzaamheid als doelwit? Nu organisaties zich serieus gaan bezighouden met strategieën op het gebied van milieu, maatschappij en bestuur (ESG), moeten ze mogelijk meer doen om deze informatie verborgen te houden.
Wat is er gebeurd bij Schneider Electric?
De Cactus-ransomwaregroep beweerde 1.5 TB aan gegevens van het bedrijf te hebben en dreigde deze publiekelijk vrij te geven als de Franse multinational niet zou betalen. Een maand later is het zover gepubliceerd 25 MB van gegevens om de dreiging duidelijk te maken. Het is nog steeds niet bekend of Schneider Electric losgeld heeft betaald voor de gegevens, en ook niet of Cactus de informatie heeft gecodeerd en tegelijkertijd heeft gestolen, wat de algemene modus operandi is.
Schneider Electric heeft eerder te maken gehad met een ransomware-aanval; De Clop-bende kreeg in mei 2023 toegang tot een deel van zijn gegevens als onderdeel van de aanval op de MOVEit-bestandsoverdrachtservice van Progress Software, die de informatie van duizenden bedrijven opzuigde.
Deze keer concentreerde de aanval zich op één specifieke divisie. De divisie Sustainability Business is een operatie binnen Schneider Electric die zich richt op een relatief nieuwe markt: het verzamelen en rapporteren van duurzaamheidsdata.
Een groeiende behoefte aan ESG-gegevens
Duurzaamheidsgegevens vertegenwoordigen de ‘E’ in ESG, een groeiende beweging om bedrijven meer verantwoordelijk te maken voor hun effect op de planeet en de samenleving. De duurzaamheidskant heeft betrekking op maatstaven zoals het verbruik (van hulpbronnen zoals energie en water), samen met de uitstoot (meestal van broeikasgassen).
Deze gegevens zijn nuttig voor beleggers die bedrijven steeds vaker beoordelen op hun ESG-prestaties. Investeringsbeheermaatschappij Kapitaalgroep gevonden dat negen van de tien beleggingsprofessionals wereldwijd ESG in hun strategieën overwegen, waarbij 10% gelooft dat dit aantrekkelijke beleggingsmogelijkheden kan blootleggen. 57% van hen zegt echter dat deze gegevens moeilijker te verkrijgen zijn. Hoe meer investeerders ervan hebben, hoe comfortabeler zij het vinden om geld in deze bedrijven te stoppen
Andere vormen van druk zetten bedrijven ertoe aan zich te concentreren op duurzaamheidsrapportage. In de EU is de Richtlijn Corporate Sustainability Reporting (CSRD) zal de naleving ervan afdwingen Europese standaarden voor duurzaamheidsverslaglegging (ESRS), waarbij meer gedetailleerde duurzaamheidsrapportage wordt toegepast op bedrijven in de EU of bedrijven die in het blok actief zijn.
Volg het geld om de waarde te begrijpen van de duurzaamheidsgegevens die deze initiatieven ondersteunen. De Big Four zijn actief bezig met datagedreven duurzaamheidsactiviteiten. Deloitte investeerde $1 miljard aan duurzaamheids- en klimaatpraktijken in april 2022, en biedt een dienst voor duurzaamheidsanalyse Een praktijk die klanten helpt het gebruik van hulpbronnen te monitoren, zowel intern als binnen hun toeleveringsketens. EY, KPMG en PwC bieden allemaal diensten aan om een duurzaamheidsstrategie te creëren en vervolgens operationele gegevens te integreren om deze te ondersteunen.
Een zich uitbreidend aanvalsoppervlak
Het verzamelen en rapporteren van deze gegevens brengt verschillende risico’s met zich mee voor bedrijven:
Gegevensdiepte en -breedte
Bedrijven verzamelen een breed scala aan bedrijfsgegevens uit hun eigen faciliteiten, variërend van het stroomverbruik van individuele machines tot afvalproductie, brandstofhoeveelheden en vlootaantallen.
Sommigen, zoals PwC, advocaat datameren die een mix van operationele, biodiversiteits- en veiligheidsgegevens zullen bevatten. Deze zullen worden gecombineerd met andere datameren die klant- en marktinformatie bevatten, samen met gegevens uit ERP-systemen, IoT-sensoren en zelfs HR-gegevens. Het voorziet dat al deze informatie via instrumenten voor duurzaamheidsrapportage stroomt.
Gegevens bereik
De andere bedreiging is de reikwijdte van de verzamelde gegevens, die verder reikt dan de eigen activiteiten van een organisatie en de gegevens van hun leveranciers. PwC's model voor duurzaamheidsgegevens omvat informatie van derden van anderen in de bedrijfstoeleveringsketen.
De aanval op Schneider Electric bracht het EcoStruxure Resource Advisor-platform in gevaar. Het is een cloudgebaseerd systeem dat gegevens over facilitaire activiteiten en toeleveringsketens verzamelt en analyseert. Hierdoor kunnen klanten het energieverbruik monitoren en voorspellen, en emissierapporten genereren. In het promotiemateriaal wordt trots vermeld dat het niet alleen de eigen datafeeds van zijn klanten gebruikt, maar ook gegevens van externe leveranciers.
Centralisatie van gegevens
Bedrijven als Schneider Electric jagen winst uit duurzame datadiensten door het verzamelen en analyseren van deze gegevens uit handen van klanten te nemen. Dit maakt deze aanbieders van duurzame datadiensten een aantrekkelijk doelwit voor cybercriminelen die grote hoeveelheden van deze waardevolle klantinformatie willen verzamelen. De duurzaamheidseenheid van Schneider Electric telde verschillende hoogwaardige bedrijven tot zijn klanten, waaronder Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo en Walmart.
Hoe u veilig kunt blijven bij het nastreven van duurzaamheid
Het is niet duidelijk of de aanval op Schneider Electric gericht was of gewoon een gelukkig ongeluk voor opportunistische dieven, maar hoe dan ook zijn deze gevoelige gegevens duidelijk een waardevol doelwit. Dus wat kunnen bedrijven doen om zichzelf te beschermen?
Het beoordelen van leveranciers op effectieve beveiligingspraktijken is van cruciaal belang, inclusief het evalueren van hun certificeringen voor cyberbeveiligingscontroles. Deze certificeringen garanderen echter geen 100% veiligheid. Andere maatregelen kunnen de kans op gegevensdiefstal verkleinen.
Het bijhouden van een sterke gegevensinventaris is belangrijk: het bijhouden van alle gegevens die worden gedeeld en het duidelijk documenteren van de soorten gevoelige informatie waartoe een externe dienstverlener toegang heeft. Het opzetten van protocollen om het toegangsrisico te beheren, zowel door externe dienstverleners als intern, is ook een goede beveiligingspraktijk.
Of u nu te maken heeft met een externe dienstverlener of alle gegevens intern verzamelt en bewaart, bescherming tegen ransomware is van cruciaal belang. Dit betekent dat er controles moeten worden ingevoerd, zoals basiseindpuntdetectie en -preventie tot en met beheerde detectie en respons (MDR). Fundamentele cyberhygiëne, inclusief tijdige beveiligingsupdates en training van eindgebruikers, zijn ook nuttige verdedigingslinies.
ESG-gegevens worden steeds aantrekkelijker voor online oplichters, of ze deze nu zonder onderscheid in hun netten vangen of er expres naar op zoek gaan. Effectieve cyberbeveiligingsmaatregelen die goed gedocumenteerd zijn, zullen een grote bijdrage leveren aan de bescherming van dit nieuwe juweel.
