Contemplando la cadena de suministro de café: una historia de terror


En el viaje del frijol a la taza, los peligros aguardan en cada esquina. Aquí, los expertos en seguridad con mucha cafeína advierten a la industria del café sobre las amenazas.

(Imagen: Okea a través de Adobe Stock)

(Imagen: Okea a través de Adobe Stock)

Una cadena de suministro es tan fuerte como su eslabón más débil. Eso lo sabemos.

«Pero lo que recibe menos consideración es que cada paso del proceso, cada eslabón, también tiene una cadena de suministro, y todo ello expande la superficie atacante», dice Adam Levin, experto en ciberseguridad y autor que fundó la empresa Cyberscout, recientemente adquirida.

Dicho de otra manera, los problemas de seguridad de la cadena de suministro se extienden mucho más allá del camino previsto para transportar cosas desde el punto A al punto B.

No busque más allá de la codiciada cadena de suministro de café y el pánico que una interrupción causaría a todos los involucrados, especialmente a aquellos que dependen de esa taza fresca (o dos, o tres …) para comenzar y pasar el día.

Relajarse. Esto es meramente hipotético.

Así como el café viene en muchas variaciones personalizables, todos tenemos nuestros favoritos personales, también lo hacen los problemas de la cadena de suministro. Si bien las amenazas son comunes a muchas cadenas de suministro globales, la cadena de suministro de café enfrenta «un desafío essential», dice Jake Olcott, vicepresidente de asuntos gubernamentales de BitSight.

«El productor de café, el fabricante y el minorista son todos individualmente responsables de su propia seguridad, pero dependen colectivamente unos de otros y del sistema más grande para operar de manera eficiente y segura», dice.

No olvidemos al usuario ultimate, el bebedor de café, que forma parte de la cadena de suministro, añade Gary Golomb, científico jefe y cofundador de Awake Stability.

«Mientras estoy sentado aquí bebiendo mi café irlandés, me sorprende que debamos aclarar qué parte de la analogía del café es la empresa del usuario last y qué parte es la cadena de suministro», explica. «¿Es la cafetería la empresa del usuario closing? No. Ellos son (revendedores), capaces de tomar (computer software comercial disponible) y combinarlos hábilmente en soluciones más útiles, como un moka, por ejemplo. Por lo tanto, es los bebedores de café que son las empresas de usuarios finales, y todo lo que se les presenta, bueno, nosotros, es la cadena de suministro «.

Derramar los granos sobre los cafetaleros
Entonces, ¿qué pasaría si algún atacante verdaderamente vicioso viniera después del café? ¿Alguien sin escrúpulos en absoluto, con ganas de quemar toda la cadena de suministro como una olla en el quemador durante demasiado tiempo?

Los cafetaleros serían los primeros en irse.

«La mayoría de los riesgos se pueden encontrar más abajo en la cadena de suministro, en este caso, los productores de café», dice Nir Kshetri, profesor de la Universidad de Carolina del Norte-Greensboro, investigador de la Universidad de Kobe y autor de cuatro libros sobre ciberseguridad. . «(Los productores) se están digitalizando rápidamente debido a las presiones para hacerlo de los minoristas occidentales y otras empresas. Sin embargo, la IoT y otros sistemas digitales que los productores de café y otros actores de los países en desarrollo tienden a usar no son tan seguros. Usan los dispositivos más baratos, tienden a utilizar software program pirateado en los dispositivos y carecen de orientación en ciberseguridad «.

Con fondos limitados y recursos de TI limitados, los productores de café pueden ser el eslabón más débil, dice.

Asar los tostadores
Sin embargo, puedes confiar en los tostadores de café. ¿O puedes tú?

Muchos tostadores están consolidando sus posturas de seguridad a través de la transparencia en sus propias cadenas de suministro. De hecho, un grupo de tostadores de café conocidos, incluidos Onyx Espresso Lab y Counter Society, firmaron un compromiso de transparencia y comparten abiertamente información como Precio FOB y volumen comprado, dice Asser Christensen, fundador de El cronista del café, un sitio world wide web dedicado al mundo de los cafés especiales.

«La mayoría de estas marcas también enumerarán abiertamente los diferentes componentes de sus mezclas. Entonces, en teoría, podría comprar las mismas judías verdes y recrear la mezcla usted mismo», dice. «Por supuesto, esto es completamente diferente de las empresas cafeteras multinacionales como Nestlé y Starbucks».

La transparencia parece ser un enfoque común para los tostadores, aunque también puede plantear un problema de seguridad. Tomemos, por ejemplo, un tostador de café boutique, explica Rob McDonald, vicepresidente ejecutivo de plataforma de Virtru. Es probable que ese tostador tenga muchos acuerdos comerciales vigentes, incluso con productores, proveedores de envío, su fabricante de empaques, una plataforma de comercio electrónico y cadenas regionales de cafeterías y tiendas de regalos que almacenan su producto.

«Ese tostador envía y recibe datos desde y hacia todos estos socios y más, además de administrar la nómina y las operaciones de su pequeño individual», dice. «Si la plataforma de comercio electrónico de ese tostador boutique se ve comprometida de manera que otorgue acceso a los otros sistemas conectados del tostador, todos sus datos, más los datos de los socios antes mencionados, ahora están en peligro. Aquellos que han confiado sus datos al tostador , incluidos los consumidores individuales y las empresas por igual, pueden sufrir consecuencias «.

Caos en la fabricación del café
Los fabricantes de máquinas de café expreso no tienen ninguna posibilidad. Y podrían derribarte con ellos.

«Los fabricantes de máquinas de café expreso corren un alto riesgo de sufrir ataques de ransomware», dice Ara Aslanian, asesor experto en ciberseguridad de L.A Cyber ​​Lab y director ejecutivo de Inverselogic, una empresa de servicios de TI.

Dan Frey, gerente senior de productos de ExtraHop, está de acuerdo.

«El ransomware es suitable para interrumpir la tecnología operativa muy utilizada en la logística de la cadena de suministro y la fabricación», dice. «Estos dispositivos rara vez contienen información confidencial y, por lo common, no tienen altos niveles de acceso a recursos de purple confidenciales. Pero si un ciberdelincuente puede bloquearlos, funcionalmente pueden cerrar las operaciones hasta que se reformateen los sistemas o se obtengan las claves de cifrado. , lo que le cuesta a una organización mucho más que los dólares de rescate solicitados «.

Sin embargo, otras tendencias preocupantes también están evolucionando rápidamente.

«Otra preocupación alarmante es que el ransomware en sí solo puede ser un señuelo para un ataque mayor», dice Frey. «Si los fabricantes de máquinas de café expreso no están preocupados por esto todavía, es sólo cuestión de tiempo».

Desafortunadamente, los fabricantes también pueden abrir las puertas a los atacantes en otras entidades de la cadena de suministro.

«Los fabricantes son buenos objetivos para los piratas informáticos porque, a medida que incorporan más tecnologías de IoT en sus cadenas de suministro para rastrear componentes y aumentar la eficiencia, crean más vulnerabilidades», dice Aslanian. «Los atacantes que piratearon Goal hace unos años entraron en la purple de la empresa a través de su sistema HVAC».

Las principales marcas de cafeteras inteligentes como Keurig o Braun, por ejemplo, tienen motivos para preocuparse por las vulnerabilidades integradas en sus cafeteras inteligentes. Estos populares dispositivos de Online de las cosas (IoT) pueden preparar un gran café y una olla llena de problemas para algún pobre amante del café en casa, una empresa con una sala de descanso y secretos de propiedad, un restaurante lleno de pagos con tarjeta de crédito de clientes o el Starbucks que cubre todas las esquinas de la tierra.

«Aquí es donde la cadena de suministro de café se encuentra con la cadena de suministro de software package. Cualquier tecnología incorporada en un dispositivo que se conecta a otro a través de Net puede finalmente explotarse para obtener acceso a los recursos de la red», dice Karen Crowley, gerente senior de productos de ExtraHop. «Para dispositivos como cafeteras inteligentes, donde la seguridad no siempre ha sido una consideración importante, vulnerabilidades como Ripple20, donde la pila Treck TCP / IP integrada en millones de dispositivos, podrían permitir a los atacantes comprometer dispositivos inteligentes desde la fabricación hasta la atención médica. servir como una llamada de atención «.

Estos mismos dispositivos también representan amenazas para otros en la cadena de suministro de formas insospechadas y sin pretensiones. Estas mismas cafeteras habitan espacios y se conectan a redes en fabricantes, productores de frijoles, tostadores, restaurantes y cafeterías.

«El firmware no suele ser muy sofisticado: un pequeño chip con código escrito para proporcionar ciertas funcionalidades», dice Ritesh Chaturbedi, director de operaciones de Systemax. «Debido a la falta de sofisticación y la conexión a Web y (inteligencia artificial), existe un gran riesgo. Un pirata informático puede escribir un código o IA para fingir que es un Siri o Alexa benigno y obtener acceso al dispositivo IoT».

Brew-a-ha de los minoristas
Tal vez su café llegue a la taza sin peligro. Da un suspiro de alivio. Pero no te relajes todavía.

(Continúa en la siguiente página)

Escritora y analista prolífica, la obra publicada de Pam Baker aparece en muchas publicaciones importantes. También es autora de varios libros, el más reciente de los cuales es «Knowledge Adivination: Massive Details Methods». Baker también es un orador preferred en conferencias de tecnología y miembro … Ver biografía completa

Anterior

1 de 2

Próximo

Lectura recomendada:

Más información





Enlace a la noticia original