Почему хакеры нацеливаются на вашу цифровую цепочку поставок, а не только на ваши системы
Хакеры постоянно ищут новые способы получить доступ к бизнесу, и редко это происходит через парадную дверь. Для большинства организаций кибербезопасность по-прежнему сосредоточена на защите внутренних систем и предотвращении несанкционированного доступа с помощью таких мер, как межсетевые экраны, шифрование и обучение сотрудников. Однако этот подход предполагает, что злоумышленники пытаются получить доступ напрямую. Теперь уже недостаточно полагаться на собственные внутренние меры кибербезопасности для защиты информации. Поскольку цифровые цепочки поставок становятся все более сложными с увеличением числа вовлеченных поставщиков, злоумышленники теперь полностью обходят внутренние контроли организаций. Вместо этого они используют уязвимости в сети доверенных поставщиков, которые уже имеют законный доступ к системам и данным. За последний год ряд высокопрофильных киберинцидентов, затрагивающих крупные компании, подчеркнул разрушительный и дорогостоящий характер этих атак. Итак, как это происходит, что это означает для бизнеса и какие шаги вы можете предпринять, чтобы снизить риск? Как злоумышленники проникают в цифровую цепочку поставок? Вместо того чтобы атаковать организации напрямую, хакеры все чаще нацеливаются на поставщиков и сервисные компании в рамках цифровой цепочки поставок, включая поставщиков веб-сайтов или программного обеспечения, платформы разработки и тестирования или решения для хранения информации. Эти третьи стороны часто имеют доступ к системам, данным или сетям, что делает их привлекательными целями и критическими зонами риска для управления организациями. Атаки на цепочку поставок нацелены на один или несколько элементов, необходимых организации для предоставления предлагаемых ею продуктов или услуг. Например, атаки могут включать вредоносное обновление программного обеспечения или украденные учетные данные для входа или уязвимый компонент с открытым исходным кодом или небезопасную интеграцию между системами. В частности, атаки на цифровую цепочку поставок происходят, когда разработчики программного обеспечения полагаются на широко используемые сторонние библиотеки для добавления функциональности в свои приложения. Если злоумышленнику удается внедрить вредоносный код в одну из этих библиотек, любой разработчик, который позже интегрирует ее в свое программное обеспечение, может непреднамеренно ввести уязвимость в свой продукт. В 2024 году в XZ Utils, широко используемом инструменте сжатия с открытым исходным кодом, который встречается во многих системах Linux, была внедрена вредоносная задняя дверь. Атака не полагалась на взлом систем напрямую и вместо этого использовала цепочку поставок. На момент обнаружения проблемы затронутые версии еще не были широко развернуты в производственных средах. Однако они были включены в сборки разработки основных дистрибутивов, что побудило поддерживающих специалистов пересобрать свои пакеты для устранения уязвимости. Компьютерный ученый Алекс Стамос прокомментировал, что если бы задняя дверь осталась незамеченной, она бы «дала ее создателям мастер-ключ к сотням миллионов компьютеров по всему миру, на которых работает SSH». Как только продукты, услуги или технологии поставщика были нарушены или скомпрометированы, злоумышленники могут получить доступ и дополнительно скомпрометировать системы организации. Эти атаки часто остаются незамеченными до тех пор, пока системы не будут нарушены, данные не будут зашифрованы или украдены, или не будет выдан запрос на выкуп. В случае с задней дверью XZ Utils вредоносный код был обнаружен только тогда, когда разработчик заметил необычное поведение производительности во время рутинного тестирования. Чаще всего, к моменту обнаружения атаки ущерб уже нанесен, и влияние на бизнес может быть значительным. Влияние на бизнес Наиболее немедленным воздействием кибератаки обычно является финансовое. Запросы на выкуп могут быть значительными, особенно если злоумышленники понимают, что нарушение затронуло нескольких клиентов или критические услуги. Даже если выкуп не выплачивается, бизнес часто сталкивается с высокими сопутствующими расходами, связанными с прерыванием бизнеса, восстановлением систем и профессиональными консультациями, что все добавляет к финансовым последствиям кибератаки. Для компаний, ориентированных на цифровые технологии и платформы, время простоя быстро превращается в потерю дохода, что усугубляет финансовые последствия. В одном недавнем инциденте крупная компания, работающая с потребителями (Co-op), заявила, что кибератака, которой она подверглась в 2025 году, «затронула как финансовые, так и операционные области», что привело к потере как минимум 206 миллионов фунтов стерлингов в доходах. Операционное воздействие может быть столь же серьезным. Если ключевой поставщик выходит из строя или приостанавливает доступ к своим услугам, чтобы сдержать атаку, бизнес-операции фактически останавливаются. Организации могут не иметь возможности обрабатывать транзакции, выполнять заказы или получать доступ к ключевым системам, что заставляет их прибегать к ручным обходным путям. После кибератаки в 2025 году хорошо зарекомендовавшая себя и авторитетная компания (Marks & Spencer) была вынуждена приостановить онлайн-заказы почти на два месяца и в это время перейти на ручную обработку. Вместо того чтобы нацеливаться на основную инфраструктуру M&S, атака воспользовалась уязвимостями в MoveIt, широко используемом инструменте передачи файлов для предприятий. В результате была скомпрометирована конфиденциальная информация как сотрудников, так и клиентов, включая контактную информацию, данные о заработной плате и в некоторых случаях номера национального страхования. Хотя данные о платежах, как полагают, не были затронуты, масштаб и характер утечки потребовали формального реагирования на инциденты, внутренних проверок и участия регуляторов со стороны Офиса комиссара по информации (ICO). Финансовые последствия были оценены в 300 миллионов фунтов стерлингов в виде упущенной прибыли. Однако наиболее значительным и длительным последствием часто является репутационное. Клиенты редко различают компанию и ее поставщиков, когда что-то идет не так. С точки зрения клиента, сбой воспринимается как единый сбой в обслуживании, независимо от того, где в конечном итоге лежит ответственность. Доверие, накопленное за годы, может быть потеряно за одну ночь, особенно если коммуникация медленная, оборонительная или неясная. Восстановление этого доверия требует много времени и денег, часто требуя постоянных инвестиций в взаимодействие с клиентами, улучшение обслуживания и гарантии по поводу будущей устойчивости к таким проблемам. Даже тогда ущерб может иметь долгосрочные последствия для лояльности клиентов, будущих продаж и коммерческих отношений. Роль регулирования Регуляторы все больше сосредотачиваются на устойчивости цифровой цепочки поставок, отражая растущее признание того, что кибербезопасность не ограничивается только внутренними контролями организации. Поскольку атаки на цепочку поставок становятся все более распространенными, инциденты, вызванные сторонними поставщиками, не рассматриваются как внешние события, а как провал управления, должной осмотрительности и постоянного надзора со стороны самой организации. Этот подход уже хорошо зарекомендовал себя в рамках Общего регламента по защите данных (GDPR), который в Великобритании реализуется Законом о защите данных 2018 года. В соответствии с британским GDPR организации, которые выступают в качестве контроллеров данных, остаются ответственными за защиту персональных данных, даже если обработка данных передана третьим лицам. Любая уязвимость в мерах кибербезопасности поставщика и любое нарушение защиты данных рассматриваются как вопрос управления для контроллера данных. Поэтому контроллеры данных должны гарантировать, что их обработчики данных внедряют соответствующие технические и организационные меры для защиты персональных данных и сообщают о любых нарушениях данных контроллеру без неоправданной задержки. Невыполнение организацией своих обязательств в соответствии с GDPR может привести к регуляторным действиям, финансовым штрафам и ущербу репутации бизнеса. На уровне ЕС Законодательство ЕС о искусственном интеллекте применяет аналогичный подход к искусственному интеллекту. Организации, которые разрабатывают, используют или полагаются на системы ИИ, включая те, которые поступают от третьих лиц, должны понимать, как эти системы работают, как они защищены и какие риски они представляют, особенно когда ИИ классифицируется как «высокий риск» или встроен в критические бизнес-процессы. На практике организации должны взять на себя более активную роль в контроле любых инструментов ИИ и цифровых услуг, используемых в их цепочке поставок
Другие статьи
Почему хакеры нацеливаются на вашу цифровую цепочку поставок, а не только на ваши системы
Кибератаки на цепочку поставок обходят внутренние защиты, используя доверенных сторонних поставщиков. От бэкдора XZ Utils до утечки MoveIt компании Marks and Spencer, недавние инциденты показывают, как злоумышленники используют сеть поставщиков для косвенного доступа к организациям.
