Globální propojení obchodních partnerů a dodavatelů přirozeně zvyšuje rizika kyber útoků. Dodavatelský řetězec a jeho jednotlivé články se totiž mnohdy vyznačují rozdílnými přístupy k zabezpečení.
Kybernetické útoky na dodavatelské řetězce zůstávají i v roce 2025 nemalou výzvou. Podle zprávy asociace BCI z roku 2024 vyplývá, že téměř 80 % organizací zažilo narušení bezpečnosti ve svých dodavatelských řetězcích, přičemž 34 % respondentů uvedlo jako příčinu narušení kybernetický útok.
Útočníci stále častěji cílí na dodavatele a třetí strany, aby pronikli do větších organizací. Tyto útoky zneužívají zranitelnosti v propojených systémech, což vytváří dominový efekt, který široce narušuje chod firem. Finanční ztráty, poškození reputace a potenciální právní kroky jsou jen některými z možných důsledků.
Rostoucí složitost dodavatelských řetězců kyberhrozby jen zesiluje. Proaktivní opatření proti těmto hrozbám má tak dnes kritickou prioritu. Dodavatelé, zejména menší podniky, často postrádají zdroje a odborné znalosti k implementaci silných kyberbezpečnostních opatření, což z nich činí hlavní cíl pro útočníky, kteří se snaží proniknout do větších, dobře chráněných organizací. Porozumění nejčastějším hrozbám v dodavatelském řetězci a přijetí strategií k jejich zmírnění je zásadní pro ochranu obchodních operací a integrity dat.
Proč jsou dodavatelské řetězce tak zranitelné?
Hlavním důvodem, proč jsou dodavatelské řetězce využívány ke kybernetickým útokům, je rozdíl v úrovni kybernetické bezpečnosti mezi velkými podniky a menšími dodavatelskými firmami. Menší dodavatelé často fungují s omezenými zdroji, zaměřují se na provozní výkonnostní metriky, jako jsou rychlé dodací lhůty nebo nákladová efektivita, a neúmyslně opomíjejí kyberbezpečnost.
A tady začíná problém. Protože se firmy stále více spoléhají na softwarová řešení a digitální služby třetích stran, zranitelnosti v digitálních dodavatelských řetězcích se stávají kritickým rizikovým faktorem. Stejně jako jejich fyzické protějšky, softwarové dodavatelské řetězce se skládají z více úrovní subjektů, často zahrnujících složité vzájemné závislosti, včetně softwarových knihoven s otevřeným zdrojovým kódem (open-source), cloudové infrastruktury, SaaS aplikací, autentizačních služeb a bezpečnostních nástrojů. Zranitelnosti mohou vzniknout na jakékoli úrovni, ať už prostřednictvím neopraveného kódu, nesprávně nakonfigurovaného cloudového úložiště nebo kompromitovaných IT služeb třetích stran. Všechno to vytváří významná bezpečnostní rizika.
Tato složitost je klíčovou výzvou. Mapování komponent nad rámec nejvýznamnějších dodavatelů je obtížné, přesto zranitelnosti často pocházejí právě od těch na nižších úrovních. Proto kyberútočníci tato slepá místa využívají, a to konkrétně bezpečnostní slabiny v modulech nižších úrovní, aby získali přístup k širším systémům. Zranitelnosti jako Log4j ukazují, jak může jediný slabý článek vystavit útokům celé ekosystémy. Opět se jedná o důkaz, že by bezpečnost v této oblasti měla být kritickou prioritou.
K jednomu z nejvýznamnějších kybernetických útoků na dodavatelský řetězec došlo v roce 2020 v případě softwarové firmy SolarWinds, která poskytuje nástroje pro správu IT infrastruktury. Společnost se stala cílem státy sponzorovaných kyberzločinců, kteří kompromitovali její tehdy široce využívanou platformu Orion. Útočníci dokázali vložit škodlivý kód do rutinní aktualizace, kterou následně nic netušící zákazníci spustili. Společnost SolarWinds uvedla, že tento útok celkově ovlivnil přibližně 18 000 organizací po celém světě. Seznam postižených organizací zahrnuje federální agentury USA, státní a místní vlády i velké korporace, což vedlo k neoprávněnému přístupu k citlivým datům a systémům.
Kyberhrozby pro dodavatelský řetězec
Kybernetické hrozby v dodavatelském řetězci mají mnoho podob. Ať už jde o ransomware, krádež dat nebo podvody, útočníci využívají zranitelnosti dodavatelů, partnerů, a dokonce i otevřeného zdrojového kódu k proniknutí do sítí svých cílů. Příklady jako incident u SolarWinds nebo narušení bezpečnosti systému 3CX ukazují, jak rozsáhlé a škodlivé mohou tyto útoky být. Další sofistikované metody, jako je kompromitace obchodních e-mailů (BEC) a krádež přihlašovacích údajů, navíc demonstrují, jak daleko jsou ochotní zajít, aby do dodavatelských řetězců pronikli. Ani důvěryhodní partneři, jako jsou poskytovatelé spravovaných služeb (MSP), nejsou imunní. Kyberzločinci si totiž velmi dobře uvědomují, že kompromitace jediného MSP partnera může otevřít dveře k mnoha dalším cílům. Kromě výše zmíněných příkladů se ale jedná i o další rizika.
Zranitelnosti softwaru
Hrozby, jako jsou zero-day útoky nebo jiné zranitelnosti systémů, vytvářejí útočníkům potenciální vstupní body. To pak v důsledku vede k hrozbám, jako jsou například ransomwarové útoky, infekce malwarem, narušení bezpečnosti dat, narušení procesů nebo krádež duševního vlastnictví.
Podvody
Podvody s dodavateli nebo obchodními partnery jsou další rostoucí hrozbou. Například ve zneužití firemního e-mailu (Business Email Compromise, BEC) často figurují podvodníci, kteří se vydávají za dodavatele, aby oklamali klienty a přiměli je k převodu finančních prostředků. Útočníci obvykle převezmou kontrolu nad e-mailovými účty a zasílají falešné faktury s upravenými platebními údaji. Znežívají důvěru v rámci vztahů mezi firmami a jejich dodavateli. Podvodníci také stále častěji používají sofistikované techniky sociálního inženýrství, včetně hlasových zpráv generovaných AI a deepfake videí, což opět jen přispívá k tomu, aby byly tyto útoky obtížně odhalitelné.
Bezpečnost dat
Ochrana dat zůstává kritickým problémem v rámci bezpečnosti dodavatelů. Zajištění integrity dat vyžaduje robustní šifrování a omezení přístupu, zejména pro integrovaná řešení třetích stran. Vzhledem k tomu, že dodavatelé třetích stran mají často do určité míry přístup k citlivým datům, je obrana v podobě šifrování nezbytná k tomu, aby se kyberzločincům zabránilo ve zneužití těchto propojení. Může to výrazně přispět k prevenci rozsáhlých incidentů, kam patří zmíněné narušení bezpečnosti dat.
Jak zmírnit rizika dodavatelského řetězce?
Aby si firmy dokázaly poradit s těmito hrozbami, musí z bezpečnosti dodavatelského řetězce udělat základní kámen svých kyberbezpečnostních strategií.
Efektivní zabezpečení začíná jasným porozuměním digitálních aktiv organizace a důkladným dohledem při zapojování nových subjektů do procesu. Nezbytné je také udržovat aktuální inventář všech používaných open-source i vlastních nástrojů pro zajištění viditelnosti napříč softwarovým ekosystémem. Používáním nástrojů, jako je analýza složení softwaru (SCA), a zajištěním včasného záplatování zranitelností se mohou firmy chránit před skrytým nebezpečím v široce používaných komponentách. Organizace by měly být ostražité vůči známým zranitelnostem a záplatovat okamžitě, přičemž je vhodné mít na paměti, že obavy ze škodlivých aktualizací by neměly zdržovat kritickou údržbu. Navíc narušení bezpečnosti, která ovlivní dodavatele softwaru, vyžadují pečlivou pozornost, protože mohou mít vliv na různé operace.
Systémy by měly být pravidelně auditovány, aby bylo možné identifikovat a odstranit nadbytečné nebo zastaralé služby, protokoly nebo nástroje, které by mohly představovat bezpečnostní rizika. Při spolupráci s dodavateli je důležité posoudit, jak rizikový profil mají vyhodnocením jejich bezpečnostních praktik. Organizace by měly také stanovit jasné bezpečnostní požadavky pro dodavatele, které zahrnují pravidelné audity kódu, robustní postupy při řízení změn a přísné bezpečnostní kontroly komponent kódu.
Další opatření zahrnují požadavek na penetrační testování pro odhalení zranitelností v kritickém softwaru, posílení ochranných opatření vynucením přísných kontrol přístupu a implementaci vícefaktorové autentizace (MFA) k zabezpečení vývojových procesů. Nakonec se doporučuje nasadit vícevrstvý bezpečnostní software, aby byla zajištěna komplexní ochrana napříč infrastrukturou organizace.
Tato opatření, spolu s jasně definovanými politikami a pravidelnou komunikací, vytvářejí základ pro vybudování odolných partnerských a dodavatelských vztahů.
Nové osvědčené strategie
S tím, jak se vyvíjejí kybernetické hrozby, musí se vyvíjet i bezpečnostní postupy. Vládní agentury a průmyslové organizace zavedly rámce, které s tím mají firmám pomoci. Například National Institute of Standards and Technology’s (NIST’s) Cybersecurity Supply Chain Risk Management framework nabízí systematický přístup k hodnocení a zmírnění rizik.
Rozsáhlé důsledky pro různé subjekty a instituce mají také požadavky evropské směrnice NIS2. Týká se nejen institucí a podniků, které podnikají v Evropské unii, ale také jejich dodavatelů. V České republice budou požadavky NIS2 zapracované v nové verzi Zákona o kybernetické bezpečnosti.
Buďte v souladu s regulacemi a předpisy
Zajímá vás, jaká další preventivní opatření může vaše firma zavést, abyste snížili kybernetická rizika na minimum?
ZJISTIT VÍCENávodné mohou být také normy ISO 27001 a ISO 28000 , které obsahují užitečné postupy, jak minimalizovat rizika spojená s dodavateli. Mohou se tak stát i dobrým kritériem při výběru nového partnera.
Kromě technických nástrojů je zapotřebí i posun v rámci bezpečnostní kultury firmy. Manažeři musí integrovat kybernetickou bezpečnost do procesů výběru dodavatelů a podporovat neustálý rozvoj jejich schopností v otázkách bezpečnosti. Tento přístup zajistí, že se kybernetická bezpečnost stane nedílnou součástí řízení dodavatelského řetězce, podobně jako kontrola kvality nebo úsilí o udržitelnost.
Cesta vpřed
Kybernetické útoky zacílené na dodavatele nezmizí. Naopak můžeme očekávat, že se zvýší, protože útočníci využívají v případě moderních dodavatelských řetězců jejich rostoucí složitost a propojenost. Preventivními opatřeními, která kombinují technologické nástroje, důkladné řízení subjektů v rámci řetězce a závazek neustálého zlepšování, mohou firmy významně snížit míru jejich vystavení těmto hrozbám.
