Firmy a technologie

Nejčastější rizika v dodavatelském řetězci a jak se jim vyhnout

12 min. čtení

Slepě důvěřovat zabezpečení svých partnerů a dodavatelů bude brzy neudržitelné. Nastal čas převzít kontrolu prostřednictvím efektivního řízení rizik dodavatelského řetězce.

Svět je postaven na dodavatelských řetězcích, které usnadňují globální obchod a prosperitu. Tyto sítě překrývajících se a vzájemně propojených společností jsou však stále složitější a nepřehlednější. Většina z nich poskytuje dodávky softwaru a digitálních služeb nebo je alespoň nějakým způsobem závislá na online interakcích. To je vystavuje riziku narušení a kompromitace.

Zejména malé a střední podniky nemusí proaktivně řešit (nebo nemají prostředky na) řízení bezpečnosti ve svých dodavatelských řetězcích. Ale slepě důvěřovat svým partnerům a dodavatelům v jejich postoji ke kybernetické bezpečnosti není v současné situaci udržitelné. Je na čase začít se vážně zabývat řízením rizik v dodavatelském řetězci.

Co je to riziko dodavatelského řetězce?

Kybernetická rizika dodavatelského řetězce mohou mít mnoho podob, od ransomwaru a krádeží dat až po odepření služby (DDoS) a podvody (supply chain attacks). Mohou mít dopad na tradiční dodavatele, jako jsou firmy poskytující odborné služby (např. právníci, účetní) nebo dodavatelé podnikového softwaru.

Útočníci mohou jít také po poskytovatelích řízených služeb (MSP), protože pokud tímto způsobem kompromitují jednu společnost mohou získat přístup k potenciálně velkému počtu navazujících klientských firem. Průzkum z roku 2022 ukazuje, že 90 % MSP bylo v předchozích 18 měsících vystaveno kybernetickému útoku.

 

Jaké jsou nejběžnější typy kybernetických útoků na dodavatelský řetězec a jak k nim dochází?

  • Kompromitovaný proprietární software: Kyberzločinci jsou stále odvážnější. V některých případech se jim podařilo najít způsob, jak kompromitovat vývojáře softwaru a vložit malware do kódu, který je následně dodáván zákazníkům. To se stalo i v případě útoků ransomwaru Kaseya. V nedávném útoku byl zase populární software pro přenos souborů MOVEit kompromitován prostřednictvím zranitelnosti nultého dne a data byla odcizena stovkám firemních uživatelů, což mělo dopad na miliony jejich zákazníků. Mezitím se kompromitace komunikačního softwaru 3CX zapsala do historie jako vůbec první veřejně zdokumentovaný případ, kdy jeden útok v dodavatelském řetězci vedl k druhému.
  • Útoky na dodavatele používající open-source kód: Mnoho vývojářů používá komponenty s otevřeným zdrojovým kódem, aby urychlila uvedení svých softwarových projektů na trh. Kyberútočníci to však vědí a začali do komponent vkládat malware a ukládat je v populárních repozitářích. Mezi roky 2022 a 2023 došlo k 633% nárůstu těchto útoků. Útočníci dokáží také rychle využít zranitelnosti v otevřeném zdrojovém kódu, který uživatelé nestíhají tak rychle opravovat. To se stalo třeba v případě kritické chyby v téměř všudypřítomné logovací knihovně Log4j.
  • Vydávání se za dodavatele: Při sofistikovaných útocích známých jako BEC (Business Email Compromise) se podvodníci někdy vydávají za dodavatelskou firmu s cílem vylákat od klienta peníze. Útočník se obvykle zmocní e-mailového účtu jedné nebo druhé strany a sleduje e-mailové toky, dokud nenastane správný čas zasáhnout a odeslat falešnou fakturu s pozměněnými bankovními údaji.
  • Krádež přihlašovacích údajů: Útočníci ukradnou přihlašovací údaje dodavatelů ve snaze proniknout buď k dodavateli, nebo k jeho klientům (do jejichž sítí mohou mít přístup). K tomu došlo při rozsáhlém narušení bezpečnosti společnosti Target v roce 2013, kdy hackeři ukradli přihlašovací údaje jednoho z dodavatelů vzduchotechniky pro síť těchto diskontních supermarketů.
  • Krádež dat: Mnoho dodavatelů uchovává citlivé údaje o svých klientech, zejména společnosti jako jsou advokátní kanceláře, které jsou zasvěceny do důvěrných firemních tajemství, představují atraktivní cíl pro útočníky, kteří hledají informace, jež by mohli zpeněžit vydíráním nebo jinak.

Jak vyhodnotit a zmírňovat rizika v dodavatelském řetězci?

Ať už se jedná o jakýkoli typ rizika v dodavatelském řetězci, konečný výsledek může být stejný: finanční a reputační škody a riziko soudních žalob, výpadky provozu, ztráty prodejů a naštvaní zákazníci. Přesto je možné tato rizika zvládnout, pokud se budete řídit některými z osvědčených postupů:

  • Proveďte hloubkovou kontrolu každého nového partnera v dodavatelském řetězci. To znamená zkontrolovat, zda jeho bezpečnostní program odpovídá vašim očekáváním a zda má zavedena základní opatření na ochranu před hrozbami, jejich odhalování a reakci na ně. V případě dodavatelů softwaru by se měla týkat také toho, zda mají zavedenou správu zranitelností a jakou mají pověst, pokud jde o kvalitu jejich produktů.
  • Řiďte rizika spojená s otevřeným zdrojovým kódem. To může znamenat používání nástrojů pro analýzu komponent softwaru (SCA – Software Composition Analysis) k získání přehledu o softwarových komponentách, spolu s průběžným skenováním zranitelností a malwaru a rychlým opravováním případných chyb. Zajistěte také, aby vývojářské týmy při vývoji produktů chápaly význam zabezpečení již od návrhu (security by design).
  • Proveďte risk review všech společností ve vašem dodavatelském řetězci. Začněte tím, že pochopíte, kdo jsou vaši dodavatelé, a poté zkontrolujte, zda mají zavedena základní bezpečnostní opatření. To by se mělo týkat i jejich vlastních dodavatelských řetězců. Provádějte časté audity a případně kontrolujte akreditaci podle oborových norem a předpisů.
  • Veďte si seznam všech schválených dodavatelů a pravidelně jej aktualizujte podle výsledků auditů. Pravidelný audit a aktualizace seznamu dodavatelů vám umožní provádět důkladné hodnocení rizik, identifikovat potenciální zranitelná místa a zajistit, aby dodavatelé dodržovali standardy kybernetické bezpečnosti.
  • Stanovte formální zásady pro dodavatele. V nich by měly být uvedeny vaše požadavky na zmírnění dodavatelských rizik, včetně případných SLA smluv, které je třeba dodržovat. Takové zásady slouží jako základní dokument popisující očekávání, standardy a postupy, které musí dodavatelé dodržovat, aby byla zajištěna bezpečnost celého dodavatelského řetězce.
  • Řiďte přístupy dodavatelů. Vynucujte u dodavatelů zásady nejnižších privilegií, pokud vyžadují přístup do vaší podnikové sítě. To můžete zavést jako součást přístupu nulové důvěry, kdy jsou všichni uživatelé a zařízení nedůvěryhodní, dokud nejsou ověřeni, přičemž průběžná autentizace a monitorování sítě přidávají další úroveň zmírnění rizik.
  • Vypracujte plán reakce na incident. V případě nejhoršího scénáře se ujistěte, že máte dobře nacvičený plán, podle kterého můžete postupovat, abyste hrozbu zvládli dříve, než bude mít šanci ovlivnit vaši organizaci. To bude zahrnovat i způsob, jak navázat spojení s týmy pracujícími pro vaše partnery.
  • Zvažte zavedení oborových standardů. Normy ISO 27001 a ISO 28000 obsahují spoustu užitečných způsobů, jak dosáhnout některých z výše uvedených kroků s cílem minimalizovat rizika spojená s dodavateli.

V případě, že vaše společnost patří mezi poskytovatele regulované služby v režimu vyšších povinností nového Zákona o kybernetické bezpečnosti (ZKB), budete muset jako poskytovatel strategicky významných služeb zavést mechanismus prověřování dodavatelského řetězce.

Cílem tohoto mechanismu je identifikovat hrozby související s dodavatelem či zemí mající vliv na bezpečnost ČR a vnitřní či veřejný pořádek skrze poskytovatele významných služeb.

Mezi hlavní povinnost poskytovatelů strategicky významných služeb v tomto případě patří zjišťování základních informací o dodavatelích bezpečnostně významných dodávek do své vymezené infrastruktury (kritické části stanoveného rozsahu), a tyto informace dokumentovat a hlásit Úřadu.

(zdroj: NÚKIB)

 

NIS2: Příručka o směrnici kybernetické bezpečnosti

Chcete se dozvědět více o NIS2? Co směrnice vyžaduje po firmách? Která opatření je nutné zavést? Na tyto a další otázky najdete odpovědi v naší příručce.

Chci příručku