Зависимости в цепочке поставок: вы проверили свои «слепые зоны»?

Некоторые киберриски для бизнеса проявляются только при более внимательном рассмотрении. «Слепые зоны» цепочки поставок являются тому прекрасным примером. За этими важными связями со сторонними организациями могут скрываться незаметные уязвимости, которые приводят к серьезным киберинцидентам — остановке операций, хаосу в последующих звеньях цепочки поставок и попаданию в заголовки новостей из-за финансовых, репутационных и юридических последствий.

По мере того как цепочки поставок становятся все более цифровыми и сложными, они предоставляют киберпреступникам более обширную «поверхность риска», на которую можно нацелиться. Организации должны глубоко понимать свои зависимости в цепочке поставок, чтобы они могли составить карту рисков и внедрить эффективные стратегии обеспечения устойчивости для защиты конфиденциальных данных и поддержания непрерывности бизнеса. Однако, согласно последним исследованиям ESET и других источников, малые и средние предприятия в значительной степени недооценивают потенциальные риски, с которыми они сталкиваются в связи с сбоями, вызванными их цепочкой поставок, будь то злонамеренная атака или операционный сбой.

Что такое цепочка поставок и какие риски она представляет?

Цепочка поставок — это совокупная сеть организаций, людей, видов деятельности, информации и ресурсов, участвующих в перемещении продукта или услуги от места происхождения до конечного потребителя, включая поиск поставщиков, производство, распределение и доставку. Современные цепочки поставок часто носят глобальный характер и включают сложную международную логистику или связи.

Сбои в цепочке поставок приводят к возникновению множества взаимосвязанных видов бизнес-рисков. К ним относятся риски кибербезопасности, операционные, геополитические, финансовые, репутационные, риски несоблюдения нормативных требований, экологические и социальные риски. В реальных сценариях границы между этими рисками часто стираются. Например, утечки данных, связанные с партнерами, часто имеют операционные, финансовые, репутационные и/или связанные с соблюдением нормативных требований аспекты.

Однако восприятие не всегда отражает реальность, когда речь идет об угрозах кибербезопасности. Возможно, отражая недавнее внимание СМИ к эксплойтам на базе ИИ и геополитическим киберконфликтам, опубликованный сегодня Индекс киберготовности малых и средних предприятий ESET на 2026 год показал, что 16% канадских и 17% американских малых предприятий относят атаки на цепочку поставок к числу угроз, которые их беспокоят больше всего. Напротив, 34% канадских и 32% американских малых и средних предприятий назвали вредоносное ПО на базе ИИ одной из главных угроз.

Это кажется чрезвычайно низким показателем, учитывая масштаб и частоту инцидентов в цепочке поставок — а также то, насколько широко на самом деле простирается «цепочка поставок». Взлом 3CX в 2023 году — когда злоумышленники внедрили троян в легитимное обновление программного обеспечения продукта разработчика VOIP, потенциально подвергнув риску 600 000 его клиентов — показал, как инцидент, затрагивающий одного скомпрометированного поставщика, может вызвать цепную реакцию по всем отраслям. Примечательно, что сама компания 3CX стала последующей жертвой другой атаки на цепочку поставок, совершенной с помощью скомпрометированного установщика Trading Technologies X_TRADER. Это был первый зафиксированный случай, когда одна атака на цепочку поставок породила другую, и напоминание о том, насколько глубоко могут простираться эти цепочки.

Совсем недавно атаки с использованием программ-вымогателей на CDK и Change Healthcare в 2024 году, а также атака на Jaguar Land Rover (JLR) в августе 2025 года продемонстрировали, как инцидент у поставщика, занимающего критически важную позицию, распространяется по всему сектору. JLR попала в этот список еще по одной причине: вторжение достигло автопроизводителя через одного из его поставщиков ИТ-услуг, что явно относит его к классическому случаю атаки на цепочку поставок.

Неисправное обновление CrowdStrike от июля 2024 года подтвердило эту точку зрения без участия злоумышленника, показав, что риск цепочки поставок связан не только со злым умыслом. Неудачный выпуск обновления распространяется по тем же каналам, что и обновление, содержащее вредоносное ПО, а зависимость от одного поставщика может превратить одну точку отказа в глобальное сбои.

В соответствии с выводами ESET, в отчете «Глобальный обзор кибербезопасности 2026» Всемирного экономического форума руководителям предприятий из разных отраслей и регионов было предложено составить рейтинг киберрисков, вызывающих у них наибольшую озабоченность. Руководители служб информационной безопасности (CISO) поставили сбои в цепочке поставок на второе место в рейтинге рисков на 2025 год и снова на второе место на 2026 год, в то время как генеральные директора (CEO) оценили сбои в цепочке поставок как третий риск на 2025 год. Мне кажется удивительным, что сбои в цепочке поставок не остаются в тройке лидеров в рейтинге генеральных директоров.

В целом, согласно отчету Verizon «Расследования утечек данных 2025» (DBIR), около 30 % утечек данных связаны с участием третьих лиц, и эта цифра удвоилась по сравнению с предыдущим годом. Общие экономические издержки атак на цепочку поставок программного обеспечения взлетели с 46 млрд долларов в 2023 году до 60 млрд долларов в 2025 году и, как ожидается, достигнут 138 млрд долларов к 2031 году. Подобные статистические данные должны заставить каждого руководителя компании включить риски кибербезопасности цепочки поставок в список своих приоритетных задач.

Каковы основные «слепые зоны» кибербезопасности цепочки поставок?

Риски кибербезопасности цепочки поставок касаются всех возможных способов, с помощью которых злоумышленники могут проникнуть в сети компании или другую ИТ-инфраструктуру и похитить данные, используя уязвимости в системах сторонних поставщиков услуг, вендоров или партнеров. Эти атаки часто используют ситуации, когда коммуникации по умолчанию считаются надежными, что может поставить под угрозу данные, личную конфиденциальность, стабильность работы или даже национальную безопасность.

Киберуязвимости цепочки поставок принимают различные формы, например:

• Компрометация подключенных к сети поставщиков из числа малых и средних предприятий с более слабой системой безопасности для создания «бэкдора» в целевую компанию.
• Внедрение вредоносного кода в программные компоненты (например, библиотеки с открытым исходным кодом) или обновления, что может поставить под угрозу многих пользователей.
• Использование фишинговых атак и других приемов социальной инженерии для кражи учетных данных с привилегированным доступом или внедрения программ-вымогателей или другого вредоносного ПО через третьих лиц, таких как компании, предоставляющие ИТ-услуги.
• Взлом или уязвимости физических активов, таких как чипсеты или устройства Интернета вещей, на источнике.

К числу «слепых зон» кибербезопасности цепочки поставок, угрожающих многим организациям, относятся:

• Ошибочное представление о том, что ваш бизнес более устойчив, чем на самом деле (ложное чувство безопасности), из-за неадекватной оценки рисков.
• Инциденты геополитического характера (см. ниже), когда «побочный ущерб» может нанести вред множеству организаций, не имеющих прямого отношения к конфликту.
• Киберуязвимости на нескольких уровнях в цепочке поставок, где конечный клиент не имеет видимости (так называемый риск четвертой стороны, n-й стороны или косвенного поставщика).
• «Обратные» сбои в цепочке поставок, влияющие на клиентов компании.
• Предположение о наличии новых и неоцененных уязвимостей, а также о новых партнерах в цепочке поставок, которые были быстро подключены из-за геополитических событий, стихийных бедствий или других хаотичных сценариев.
• Доверие к коммуникациям с партнерами вместо использования принципов «нулевого доверия» для проверки всех соединений.
• Проблемы «монокультуры», такие как широкомасштабная зависимость поставщиков управляемых услуг безопасности (MSSP) или поставщиков киберстрахования от одного или нескольких популярных решений кибербезопасности, которые в случае взлома могут мгновенно нанести ущерб в широком масштабе.

Из-за огромной сложности многих современных цепочек поставок выявить каждый отдельный риск практически невозможно. В связи с этим возникает вопрос: где провести черту? Насколько глубокой и подробной является ваша оценка рисков поставщиков? И какой уровень киберрисков в цепочке поставок вы готовы принять как находящийся вне вашего контроля?

Каковы были последствия крупных атак на цепочки поставок?

Некоторые из наиболее разрушительных инцидентов за последнее время затронули организации, занимающие критически важные узлы в цепочках поставок, и вызванные ими сбои распространились далеко за пределы первоначальной цели.

Ярким примером кибератаки с огромной зоной поражения является атака с использованием программы-вымогателя на JLR в августе 2025 года. Злоумышленники проникли в систему автопроизводителя через стороннего поставщика ИТ-услуг, после чего на протяжении более пяти недель парализовали производственные линии и ИТ-сервисы. Результатом стала глобальная остановка производства, которая привела к падению выпуска автомобилей на 25% по всему сектору в Великобритании в сентябре 2025 года. Спрос на запчасти рухнул в одночасье, что вынудило поставщиков JLR и связанные с ними компании уволить сотни работников и заставило правительство Великобритании выдать гарантию по экстренному кредиту в размере 1,5 млрд фунтов стерлингов, чтобы предотвратить национальный экономический кризис и кризис на рынке труда. Эта атака, признанная самой дорогостоящей кибератакой в истории Великобритании, привела к экономическому ущербу на общую сумму более 1,9 млрд фунтов стерлингов.

Атака на Marks & Spencer (M&S) в апреле 2025 года прошла по схожему сценарию. Хакеры успешно применили социальную инженерию против внешнего поставщика ИТ-услуг, выдав себя за сотрудников и убедив персонал службы поддержки сбросить учетные данные для доступа к критически важным системам. По всей видимости, были похищены контактные данные, даты рождения и история заказов миллионов клиентов, а система обработки заказов компании через Интернет и мобильное приложение не работала в течение нескольких недель. Длительный сбой обошелся компании примерно в 300 миллионов фунтов стерлингов и нанес долговременный ущерб ее репутации.

Взлом широко используемых библиотек программного обеспечения с открытым исходным кодом с помощью вредоносного кода является похожим и все более популярным вектором атак, при этом количество вредоносного ПО с открытым исходным кодом увеличилось на 188% с 2024 по 2025 год.

Ярким примером геополитических «слепых зон» в цепочке поставок программного обеспечения стала вредоносная бэкдор-программа, внедренная в 2017 году в легитимное обновление популярного бухгалтерского программного обеспечения M.E.Doc, что привело к ее широкому распространению. Атака, направленная против украинской экономики, распространила вредоносное ПО-уничтожитель NotPetya на организации по всему миру, нанеся ущерб, оцениваемый в 10 миллиардов долларов. Позже атака была приписана источнику, связанному с Россией.

Даже аппаратные компоненты, такие как чипы и печатные платы, потенциально могут быть использованы в злонамеренных целях, создавая «слепые зоны», которые чрезвычайно трудно обнаружить или защититься от них. Актуальным примером является уязвимость цепочки поставок прошивки Kr00k (CVE-2019-15126), обнаруженная ESET в 2019 году. Злоумышленники могут заставить уязвимые устройства, включая миллионы смартфонов, ноутбуков и устройств Интернета вещей, шифровать передачу данных по Wi-Fi с помощью ключа, состоящего исключительно из нулей, что позволяет легко расшифровать данные. Вероятно, на многих уязвимых устройствах до сих пор не установлены исправления прошивки из-за их массового использования.

И в качестве крайнего примера можно привести атаку на цепочку поставок «Operation Grim Beeper» в сентябре 2024 года, когда пейджеры и рации, используемые членами Хезболлы в Ливане и Сирии, взорвались в рамках операции израильской разведки. Более 30 человек погибли и 3000 получили ранения после того, как оборудование, приобретенное Хезболлой, систематически перехватывалось и использовалось в качестве оружия в течение многих лет. Вот что значит «слепое пятно» в цепочке поставок…

Каковы ключевые соображения, касающиеся геополитических рисков цепочки поставок?

После того как Иран нанес удары с помощью дронов по дата-центрам Amazon Web Services (AWS) в Бахрейне и ОАЭ, киберриски в цепочке поставок, связанные с геополитикой, стали новостью первой полосы. Там, где кинетическая и кибервойна пересекаются, государственные субъекты и их посредники могут использовать критические зависимости в цепочке поставок для совершения широкомасштабного экономического саботажа в стратегических целях, которые могут включать кражу денежных средств. Побочный ущерб является частью плана.

Вот некоторые вопросы, которые организации могут задать себе, чтобы потенциально снизить геополитические риски цепочки поставок:

• Тщательно проверяйте все отношения со сторонними хостинг-провайдерами, доступ поставщиков к вашей сети и т. д. Перемещаются ли ваши данные через центры обработки данных в нестабильных регионах — напрямую или через деятельность поставщиков услуг? Сбои в работе облачных сервисов могут непредсказуемо распространяться по цепочке поставок.
• Зависите ли вы от аппаратного или программного обеспечения, на которое в настоящее время нацелены специализированные атаки киберпреступников, например, от аппаратного обеспечения OT израильского производства?
• Убедитесь, что ваш поставщик (или поставщики) решений по управляемой безопасности и другие критически важные поставщики провели анализ собственной подверженности геополитическим киберрискам. Например, если обнаружение инцидентов и реагирование на них (MDR) осуществляет сторонняя организация, ее решение становится частью вашей поверхности атаки.

Как организации могут повысить киберустойчивость цепочки поставок?

Общие стратегии снижения киберрисков в цепочке поставок включают тщательную проверку уровня кибербезопасности поставщиков, внедрение новых технологий для усиления мониторинга, использование принципов «нулевого доверия» для снижения последствий атак, а также разработку и тестирование планов реагирования на инциденты и обеспечения непрерывности бизнеса для повышения устойчивости и более эффективного управления инцидентами, связанными с цепочкой поставок. Вся ваша сеть поставщиков должна быть включена в оценку рисков.

Для построения и внедрения киберустойчивости цепочки поставок я рекомендую последовательность действий, которые в совокупности позволяют повысить устойчивость в течение одного года.

Первые 3 месяца

• Назначьте ответственных за бизнес и ИТ в сфере рисков цепочки поставок.
• Определите всех сторонних поставщиков ИТ-услуг и бизнес-цепочки и расставьте их по приоритетам в зависимости от 1) доступа к конфиденциальным данным и 2) важности для бизнеса.
• Разработайте политику, определяющую минимально приемлемый уровень кибербезопасности или меры контроля для поставщиков.
• Проверяйте соответствие поставщиков вашим кибертребованиям и при необходимости заменяйте их.

Первые 6 месяцев

• Продолжайте контролировать соответствие поставщиков вашим кибертребованиям.
• Опишите ключевые риски цепочки поставок аппаратного и программного обеспечения (например, зависимость от открытых источников) с точки зрения бизнеса.
• Включите ваши кибертребования в закупочную деятельность и переговоры по контрактам. Договоритесь о праве на мониторинг и аудит критически важных поставщиков.
• Проведите теоретические учения по реагированию на инциденты с участием стратегических поставщиков.

Первые 12 месяцев

• Применяйте уроки, извлеченные из ваших теоретических учений.
• Проводите аудит поставщиков на соответствие договорным кибертребованиям (например, среднее время установки исправлений). Расследуйте киберинциденты у поставщиков, где это уместно.
• По возможности внедряйте резервирование и средства защиты от сбоев в ИТ-системы, избегая при этом проблем «монокультуры» решений.
• Пересмотрите и обновите свою политику кибертребований.
• Отслеживайте и реагируйте на глобальные изменения в киберзаконодательстве и требованиях к соответствию, которые влияют на ваш бизнес.

Устойчивость является обязательным условием

В мире растущих угроз и рискованных взаимозависимостей киберустойчивость цепочки поставок является фактором конкурентного преимущества, от которого зависит само выживание организации. Киберпреступники стремятся выявить и атаковать связи организации со сторонними партнерами как на входящих, так и на исходящих звеньях цепочки. Возможно, что цепочка партнеров, чья деятельность была нарушена, может подвергнуться коллективному шантажу — фактически, это сценарий вымогательства выкупа по принципу «краудфандинга».

В качестве основополагающего элемента обеспечения устойчивости компании должны всесторонне составить карту своих критически важных зависимостей от третьих сторон и уязвимостей в цифровых и нецифровых системах, включая те, которые могут быть неочевидными. Вот некоторые способы выйти за рамки типичной операционной оценки рисков цепочки поставок:

• Непрерывный мониторинг цепочки поставок с помощью ИИ
• Автоматическое картирование зависимостей в цепочке поставок
• Архитектура и соединения цепочки поставок по принципу «нулевого доверия»
• Применение аналитики угроз к конфигурациям цепочки поставок
• Расширение планирования и учета вопросов обеспечения устойчивости за пределы внутренних систем с целью включения более широкой экосистемы цепочки поставок
• Возможный вклад и помощь со стороны вашего страховщика по кибер-ответственности, который может обладать основанными на данных аналитическими выводами относительно кибербезопасности цепочки поставок поставщиков

Читать полный анализ на WeLiveSecurity →