A vállalatok egyre erősebben támaszkodnak külső szolgáltatókra, technológiai partnerekre, szoftverszállítókra és felhőalapú megoldásokra. A digitális ökoszisztéma napjainkban szorosan összefonódik, és ez nemcsak üzleti előnyt, hanem új típusú kockázatokat is jelent.
A klasszikus védekezési logika – amely csak a saját rendszereket, eszközöket és felhasználókat monitorozza – már nem elegendő. Egy partneri hálózatban minden új kapcsolat egy újabb potenciális támadási felületet jelent. Ezt hívjuk ellátási lánc kockázatnak (supply chain risk) – és az elmúlt évek valós támadásai megmutatták, hogy ennek a kezelése ma már kritikus fontosságú.
Nem a célpont, hanem az átjáró
A legnagyobb támadások közül több is úgy kezdődött, hogy az elkövetők nem a végső célpontot támadták meg, hanem annak egyik beszállítóját vagy szolgáltatóját. Elég csak a SolarWinds vagy a Marks & Spencer (lásd keretes írásainkat) incidenseket említeni. Ezekben az esetekben a támadók olyan technológiai partnereken keresztül jutottak be több száz – vagy éppen több ezer – szervezethez, akik a kompromittált szolgáltatásokat használták.
SolarWinds: az állami szintű beszivárgás iskolapéldája
A 2020 végén napvilágra került SolarWinds-ügy az egyik legnagyobb ismert ellátási lánc támadás volt. A támadók – vélhetően orosz állami hátterű szereplők – a SolarWinds Orion nevű IT-felügyeleti szoftverébe rejtettek el egy hátsó kaput, amelyet több mint 18 000 ügyfél telepített, köztük amerikai kormányügynökségek és nagyvállalatok. A támadók hónapokon keresztül észrevétlenül fértek hozzá érzékeny rendszerekhez.
Az ügy súlyosságát mutatja, hogy az amerikai Értékpapír- és Tőzsdefelügyelet (SEC) pert indított a SolarWinds és biztonsági vezetője ellen, mivel a cég állítólag nem tájékoztatta megfelelően a befektetőket a kockázatokról. Az ügy egészen 2023 elejéig húzódott.
A probléma gyökere, hogy sok szervezet nem rendelkezik láthatósággal a partneri hálózatának digitális állapotáról. Nem tudják, milyen sérülékenységeket hordoznak ezek a kapcsolatok, milyen típusú adatokat érintenek, vagy, hogy ezek a partnerek hogyan kezelik a saját biztonsági incidenseiket.
A beszállítók biztonságának kezelése jellemzően nem technológiai kérdésként, hanem adminisztratív compliance-feladatként jelenik meg. Egy-egy audit, önkitöltős biztonsági kérdőív vagy szerződéses kitétel sokáig elégségesnek tűnt – csakhogy ezek egyszeri állapotokat rögzítenek, nem folyamatos biztonsági szintet.
A támadók viszont nem kérdőíveket olvasnak. Ők a leggyengébb láncszemet keresik – és ha egy harmadik fél digitális eszköze nyitva marad, azt előbb-utóbb megtalálják.
A láthatatlan kapcsolatok láthatóvá tétele
Egy ellátási láncban bekövetkező incidens nem csak technikai következményekkel járhat. Ügyféladatok kiszivárgása, szolgáltatáskiesés, reputációs károk vagy akár hatósági vizsgálatok is következhetnek belőle – még akkor is, ha a támadás nem közvetlenül a vállalat ellen történt.
Marks & Spencer: harmadik fél hibája, milliárdos veszteség
2025 áprilisában a brit Marks & Spencer kiskereskedelmi láncot egy kibertámadás érte, amely egy harmadik fél szolgáltatóján keresztül történt. A támadás következtében az online rendelések és a kontaktmentes fizetések leálltak, és a cég becslések szerint akár 300 millió font veszteséget is elszenvedhetett.
A támadás következtében az M&S becslései szerint akár 300 millió font veszteséget is elszenvedhetett. A cég részvényeinek értéke több mint 1 milliárd fonttal csökkent a támadás nyilvánosságra kerülése után. Az M&S jelenleg is dolgozik a helyreállításon, és várhatóan júliusig tart a teljes rendszer helyreállítása.
Az új európai szabályozási környezet – különösen a NIS2-es irányelv – már kimondottan elvárja az ellátási lánc biztonságának felügyeletét és dokumentálhatóságát. Ez a jövőben nemcsak ajánlás, hanem megfelelési kötelezettség lesz, komoly jogi és pénzügyi következményekkel.
Annak érdekében, hogy a vállalatok eleget tehessenek az előírásnak, képessé kell váljanak beszállítóik digitális aktivitásának monitorozására. Ez nem jogosultságot jelent a partnerek rendszereiben való turkálásra, hanem olyan nyilvánosan elérhető adatok összegyűjtését és elemzését, amelyek alapján objektív képet alkothatnak arról, ha valamelyik partnerük digitálisan kompromittálódott.
Például kiszivárgott a hozzájuk tartozó domain vagy e-mail cím a dark webre, nyitott, sérülékeny szolgáltatásokat futtatnak vagy adathalász domain jelent meg a nevükben. De az IP-címükhöz köthető malware-fertőzés jeleit is észlelni kell a biztonságos üzletmenet fenntartásához.
Előnyben, aki előre lát
Az ellátási lánc biztonsága ma még sok helyen szürke zóna, ám a támadók számára ez egyre világosabban látható és kihasználható célpont. A Cyber Threat Intelligence alapú megfigyelés és kockázatelemzés segíti a szervezeteket abban, hogy a biztonsági gondolkodás ne álljon meg a céges határvonalnál – mert a valós támadások sem fognak.
Ez a cikk független szerkesztőségi tartalom, mely a One Solutions támogatásával készült. Részletek »
a melléklet támogatója az EURO ONE
HPE Morpheus VM Essentials: a virtualizáció arany középútja
Minden, amire valóban szükség van, ügyfélbarát licenceléssel és HPE támogatással - a virtualizációs feladatok teljes életciklusát végigkíséri az EURO ONE Számítástástechnikai Zrt.
CIO kutatás
Merre tart a vállalati IT és annak irányítója?
Hiánypótló nagykép a hazai nagyvállalati informatikáról és az IT-vezetőkről: skillek, felelősségek, feladatkörök a múltban, a jelenben és a jövőben.
Töltse ki Ön is, hogy tisztábban lássa, hogyan építse vállalata IT-ját és saját karrierjét!
Az eredményeket május 8-án ismertetjük a 17. CIO Hungary konferencián.
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?