Takzvané supply chain útoky, tedy útoky skrze dodavatelský řetězec, patří dnes mezi nejrychleji rostoucí hrozby. Princip je jednoduchý: kompromitovat menší firmu nebo technologického partnera bývá výrazně snazší než proniknout přímo do velké společnosti. Jakmile se to podaří, útočník získává nepřímý přístup do systémů všech zákazníků napadeného dodavatele. Jeden incident se tak může velmi rychle proměnit v problém pro desítky dalších firem.
Digitální ekonomika přitom vytvořila prostředí, ve kterém jsou firmy propojené více než kdy dříve. Využívají cloudové služby, externí vývojáře, open‑source knihovny i specializované SaaS platformy. Jediný produkt tak dnes často obsahuje desítky až stovky komponent od různých subjektů. Každý z nich představuje potenciální vstupní bod pro útok. Bezpečnost firmy se tak fakticky posouvá mimo její vlastní hranice.
Kybernetická válka v éře AI se zrychlila na minuty. Firmy ale stále šetří na základech
Útok přichází „legální cestou“
Typickým scénářem je kompromitace softwarové aktualizace. Firma si stáhne legitimní update od důvěryhodného dodavatele, který byl mezitím napaden. Aktualizace obsahuje škodlivý kód, který se následně automaticky rozšíří do všech systémů, kde je software nasazen. Útok tak proběhne bez nutnosti prolomit zabezpečení cílové organizace – využije důvěru, na které je digitální ekosystém postaven.
Podobně fungují i útoky přes vzdálený přístup dodavatelů do firemních systémů. Externí IT partner, servisní firma nebo vývojář má často oprávnění, která by interní zaměstnanec získával jen obtížně. Pokud je tento přístup špatně zabezpečený, stává se ideální vstupní branou. Útočník se tak dostává „dovnitř“ bez nutnosti překonávat perimetr firmy.
Regulace tlačí firmy k odpovědnosti za celý řetězec
Právě na tuto změnu reaguje i evropská legislativa. Směrnice NIS2, která výrazně rozšiřuje okruh regulovaných subjektů, ukládá firmám povinnost řídit rizika v dodavatelském řetězci jako nedílnou součást kybernetické bezpečnosti. Nejde přitom jen o technická opatření, ale i o procesy výběru a kontroly partnerů, smluvní nastavení odpovědností nebo průběžné hodnocení jejich bezpečnostní úrovně.
Firmy tak budou muset systematicky řešit otázky, které dosud stály spíše na okraji: jaké bezpečnostní standardy musí dodavatel splňovat, jakým způsobem se ověřuje jejich dodržování, kdo nese odpovědnost v případě incidentu nebo jak rychle je partner schopen reagovat na zranitelnost. Bezpečnost se tak dostává přímo do obchodních vztahů a smluv.
Nařízení Cyber Resilience Act tuto logiku doplňuje z druhé strany. Zaměřuje se na samotné digitální produkty a komponenty, ze kterých se systémy skládají. Výrobci budou muset například evidovat takzvaný Software Bill of Materials, tedy detailní seznam použitých knihoven a softwarových prvků. Cílem je umožnit rychlou identifikaci zranitelností napříč celým dodavatelským řetězcem a zamezit situaci, kdy firma ani neví, že používá kompromitovanou komponentu.
Bezpečnost se přesouvá z IT do byznysu
Z papíru do praxe je ale cesta složitá. Mnoho firem dnes nemá přesný přehled o tom, jaké komponenty jejich systémy obsahují a odkud pocházejí. Moderní software vzniká jako kombinace vlastního vývoje a externích zdrojů, které se průběžně aktualizují. Zmapování celého ekosystému tak představuje náročný a dlouhodobý proces, který vyžaduje nejen technologické nástroje, ale i změnu interních procesů.
Stáhněte si přílohu v PDF
Další výzvou je řízení samotných dodavatelů. Velké korporace začínají zavádět bezpečnostní audity a přenášet odpovědnost do smluv, menší firmy ale často nemají kapacity ani vyjednávací sílu. V praxi tak platí, že úroveň zabezpečení celého řetězce určuje jeho nejslabší článek – a tím bývá často právě menší partner, který bezpečnost řeší jen okrajově.
Pro management to znamená zásadní posun. Kyberbezpečnost už nelze chápat jako izolovanou funkci IT oddělení. Stává se součástí nákupu, řízení dodavatelů i strategického rozhodování. Výběr partnera tak není jen otázkou ceny a kvality služby, ale i jeho schopnosti odolat kybernetickým hrozbám.
Roste také tlak na transparentnost. Zákazníci i regulátoři budou stále častěji požadovat důkazy o tom, že firma má svůj dodavatelský řetězec pod kontrolou. Nestačí deklarovat bezpečnost, bude nutné ji prokazovat – a to nejen u sebe, ale i u všech klíčových partnerů.
Útočníci si totiž dobře uvědomují, že nejsnazší cesta nevede přes hlavní bránu, ale přes zadní vchod. A v digitální ekonomice je tímto vchodem téměř vždy někdo jiný.
Článek byl publikován ve speciální příloze HN Kybernetická bezpečnost.
Přidejte si Hospodářské noviny
mezi své oblíbené tituly
na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články.
- Veškerý obsah HN.cz
- Mobilní aplikace
- Bez reklam
- Odemykejte obsah pro přátele
- Články v audioverzi + playlist
- Možnost kdykoliv zrušit
