В современном цифровом мире, где бизнес-процессы всё глубже интегрируются и зависят от множества внешних поставщиков, цепочки поставок стали неотъемлемой частью экономики. Однако, именно эти цепочки, состоящие из третьих и даже «nth»-партнёров — подрядчиков третьего уровня, которые обслуживают или зависят от основных поставщиков — стали уязвимым звеном для кибератак. По данным нового исследования от SecurityScorecard, количество атак на цепочки поставок резко возросло за последний год, при этом значительная часть организаций буквально «летает в слепую», не имея чёткого понимания всех своих зависимостей и уязвимостей. Проблема начинается ещё с того, что большинство глобальных компаний сталкиваются минимум с одной материальной атакой на цепочку поставок в год. При этом несмотря на растущие риски и тревогу среди руководителей по безопасности, реальный контроль и мониторинг состояния безопасности у внешних поставщиков остаются на низком уровне.
Исследование SecurityScorecard показало, что 88% опрошенных CISO и других топ-менеджеров по безопасности испытывают серьёзные опасения относительно рисков в цепочке поставок. Однако менее половины компаний осуществляют полноценный контроль безопасности по всем сторонам цепочки. Отдельно стоит выделить понятие «nth-партнёрства» — это уровень поставщиков, которые не связаны напрямую с организацией, но обслуживают или поставляют услуги своим непосредственным поставщикам. Именно здесь скрываются значительные риски, так как, по оценкам, около 79% организаций контролируют менее половины всех таких звеньев через собственные программы кибербезопасности. В итоге большая часть компаний оказывается «слепой» к уязвимостям, которые могут стать отправной точкой серьезных атак на бизнес.
Количество атак на цепочки поставок с каждым годом растёт. Среди опрошенных 71% подтвердили, что их компании столкнулись с инцидентами, которые имели значительное влияние на бизнес за последний год. Более трети из них испытали три и более таких инцидентов, а 5% сообщили о десяти и более атаках, связанных с внешними подрядчиками. При этом данные из отчёта Verizon Data Breach Investigations Report за 2024 год свидетельствуют о двукратном росте числа нарушений, связанных с третьими лицами, по сравнению с предыдущим годом. Инциденты с такими поставщиками теперь занимают около 30% от всех зарегистрированных атак.
Одной из ключевых причин высокой уязвимости компаний является недостаточная видимость всех звеньев в цепочке поставок. Многие организации просто не знают, кто и каким образом работает с их данными и инфраструктурой на более глубоких уровнях взаимодействия. Это усугубляется перегрузкой служб безопасности, в частности центров операций безопасности (SOC), где сотрудники постоянно сталкиваются с огромным количеством предупреждений и инцидентов. В такой ситуации отслеживание всех рисков становится практически невозможным без внедрения специализированных инструментов и комплексного подхода. Чтобы справиться с проблемой, эксперты рекомендуют сосредоточиться на повышении киберустойчивости, то есть способности организации быстро обнаруживать, нейтрализовать атаки и восстанавливаться после них без существенных потерь.
Национальный центр кибербезопасности Великобритании (NCSC) и другие авторитетные органы давно продвигают эту концепцию, подчеркивая важность осознания реальности и подготовки к инцидентам вместо надежды на их полное предотвращение. Разработка комплексной стратегии по безопасности цепочки поставок должна включать процессы полноценной оценки рисков для всех партнеров — от непосредственных поставщиков до «nth»-партнёров. Несмотря на то, что более половины опрошенных компаний проводят такие оценки, 36% сталкиваются с трудностями в получении достоверных и объективных данных. Основная причина — использование анкет и опросников, которые зачастую заполняются поставщиками самостоятельно, что провоцирует предвзятые и непроверяемые ответы. Попытки решить вопросы безопасности часто ограничиваются оформлением специализированных полисов киберстрахования, что, по данным исследования, выбирают около 63% компаний.
Это позволяет хоть как-то минимизировать финансовые потери в случае атаки, но не решает проблемы предотвращения инцидентов и их оперативного выявления. В то же время большинство компаний уделяют внимание обучению сотрудников основам кибербезопасности и ведут непрерывный мониторинг, но многие важные меры остаются недооценёнными. Процессы формального привлечения и окончания сотрудничества с поставщиками (onboarding и offboarding) реализованы лишь в 38% организаций, что показывает низкую зрелость в управлении рисками. Меньше компаний проводят совместные мероприятия, например, тематические учения и обсуждения проблем с партнёрами, что могло бы повысить уровень взаимодействия и понимания общих угроз. Аналитики из SecurityScorecard резюмируют, что современный подход к управлению рисками в цепочке поставок не справляется с масштабом вызовов.
Стандартные методы анализа и контроля уже неэффективны в условиях постоянно растущей сложности и агрессивности атак. Вместо пассивной профилактики организациям необходимо оперативно реагировать на возникающие угрозы, строить внутреннюю устойчивость и эффективно взаимодействовать с партнёрами по безопасности. Большие системные угрозы требуют интеграции процессов безопасности с управленческими решениями и техническими средствами во всех слоях организации и во взаимодействии с поставщиками. Внедрение современных платформ для мониторинга поставщиков, использование автоматизированных систем оценки рисков и аналитики киберугроз становится неотъемлемой частью стратегии. Без такого комплексного подхода риски будут лишь нарастать, подвергая компании возможным значительным потерям.
Учитывая стремительный рост атак на цепочки поставок и объективную сложность контроля всех зависимостей, бизнесу необходимо переосмыслить подход к безопасности. Видение проблемы должно выходить за рамки традиционного понимания киберрисков, включая гиперзависимости, мультиуровневые связи и реальное состояние кибербезопасности всех контрагентов. Инвестиции в комплексную, проактивную и коллективную киберустойчивость – залог успешного противостояния современным угрозам, позволяющий снизить вероятность разрушительных инцидентов и поддерживать доверие клиентов и партнеров. Только в таком случае можно будет эффективно защитить критические бизнес-процессы от взломов и потерь, которые наносят атаки через цепочки поставок.
