Najslabší článok bezpečnosti už nie je vo vašej firme, je u dodávateľa

TL;DR:

Problém: Útočníci čoraz častejšie neútočia priamo na korporácie, ale na ich dodávateľov. Jeden kompromitovaný dodávateľ otvára dvere k desiatkam organizácií (príklad: SolarWinds).

Prečo audit nestačí: Certifikát ISO/IEC 27001 ani vyplnený dotazník nedokazujú reálnu odolnosť. Bezpečná verzia softvéru je bezcenná, ak je kompromitovaný samotný vývojový proces.

Čo s tým: Žiadajte praktické dôkazy - penetračné testy, red teaming, bezpečný CI/CD a Secure SDLC, transparentný SBOM.

Legislatíva: NIS2 a Cyber Resilience Act už dnes presúvajú zodpovednosť za bezpečnosť dodávateľského reťazca priamo na manažment.

Slovenská ekonomika stojí na priemysle a automotive sektore, v ktorom sú rozsiahle dodávateľské reťazce absolútne kľúčové. Využívajú to aj útočníci, ktorí už neútočia priamo na korporácie, ale na ich dodávateľov. V prípade úspešnej kompromitácie tak nezískavajú prístup len k dátam jednej organizácie, ale často hneď k viacerým spoločnostiam využívajúcim daného dodávateľa. V článku rozoberieme, prečo vyhodnocovanie dôveryhodnosti a spoľahlivosti dodávateľa len na základe auditu kybernetickej bezpečnosti už nestačí a ako aj nová legislatíva mení pravidlá hry.

Dodávatelia ako vstupná brána

Hoci veľké podniky investujú niekedy aj milióny eur do ochrany svojho perimetra, infraštruktúry a vzdelávania zamestnancov, útočníci často volia cestu najmenšieho odporu. Namiesto priameho útoku sa zameriavajú na menších dodávateľov alebo poskytovateľov služieb, cez ktorých sa môžu k cieľu dostať omnoho jednoduchšie. Známym príkladom je incident SolarWinds, pri ktorom útočníci kompromitovali proces vývoja a aktualizácií softvéru, vďaka čomu sa škodlivý kód od dodávateľa softvérového produktu dostal k tisíckam organizácií vrátane vládnych inštitúcií a veľkých korporácií.

Nové trendy

Na rastúce riziká spojené s dodávateľským reťazcom reagujú aj samotné firmy. Výrazným faktorom je napríklad aj prísnejšia legislatíva ako smernica NIS2 či Cyber Resilience Act. Smernica NIS2 rozširuje okruh regulovaných subjektov, zavádza prísnejšie požiadavky na riadenie kybernetických rizík vrátane bezpečnosti dodávateľského reťazca a výrazne zvyšuje zodpovednosť manažmentu za kybernetickú bezpečnosť organizácie. Zvýšený záujem však nepochybne vzniká aj kvôli čoraz častejším bezpečnostným incidentom. Od dodávateľov si často žiadajú reálny dôkaz technickej odolnosti v podobe penetračného testu aplikácie či IT riešenia pred jeho zakúpením, nielen vyplnené bezpečnostné dotazníky alebo audit podľa ISO/IEC 27001. Tento tlak na overovanie bezpečnosti SW produktov zaznamenalo aj Citadelo. Kým v roku 2024 viedol v záujme o penetračné testovanie finančný sektor, náš Ethical Hacking Report za rok 2025 ukazuje, že vývojári softvéru (software houses) sa stali suverénne druhým najčastejšie testovaným segmentom, tvoriacim až 11 % všetkých projektov. Firmy si zároveň uvedomujú, že najzraniteľnejším článkom stále zostáva človek, čo dokazuje aj výrazný nárast záujmu o simulované phishingové a vishingové útoky, ktoré pomáhajú overovať pripravenosť zamestnancov na reálne hrozby.

Možnosti overovania bezpečnosti dodávateľov

Čoraz viac organizácií preto dopĺňa tradičné penetračné testy aj o pokročilejšie formy overovania odolnosti dodávateľov, ako je red teaming, ktorý simuluje správanie reálneho útočníka naprieč technickými aj procesnými vrstvami organizácie. Súčasťou red teamingu býva aj sociálne inžinierstvo vrátane phishingových alebo vishingových kampaní, ktoré preverujú pripravenosť jednotlivých zamestnancov reagovať na útoky. Práve kombinácia technických testov a overenia ľudského faktora poskytuje realistickejší obraz o skutočnej úrovni kybernetickej bezpečnosti dodávateľa. V spoločnosti Citadelo dlhodobo pozorujeme, že organizácie čoraz častejšie vyžadujú práve takéto praktické dôkazy bezpečnostnej odolnosti namiesto formálneho splnenia auditných požiadaviek.

AI služby ako súčasť dodávateľského ekosystému

S rastúcim využívaním umelej inteligencie a LLM modelov sa do popredia dostáva aj AI bezpečnosť. Firmy začínajú riešiť nielen bezpečnosť vlastných aplikácií, ale aj riziká vyplývajúce z používania externých AI modelov, pričom penetračné testovanie AI modelov a chatbotov sa postupne stáva súčasťou bezpečnostného testovania moderných aplikácií. Nedávne obmedzenia prístupu k vybraným modelom spoločnosti Anthropic pre európskych používateľov zároveň ukázali, že závislosť od jedného poskytovateľa AI môže predstavovať významné prevádzkové a dodávateľské riziko.

Bezpečnosť softvéru začína v procese vývoja

Napriek väčšiemu záujmu o testovanie SW produktov, vidíme značný priestor pre zlepšenie bezpečnosti procesov softvérového vývoja, predovšetkým v zavádzaní princípov Secure SDLC a ochrane CI/CD pipeline. Na konci dňa je totiž úplne jedno, aká bezpečná je jedna konkrétna verzia softvéru, ktorú sme mali možnosť testovať, ak dodávateľ podcení bezpečnosť samotného vývojového procesu či CI/CD pipeline. Riziká spojené s interným útočníkom (insider threat), možnosťou kompromitácie cez závislosti tretích strán v dôsledku útokov typu dependency confusion, či dokonca škodlivé rozšírenia vo vývojárskom prostredí otvárajú cestu ku kompromitácii výslednej aplikácie. Bezprostredne po úspešnom penetračnom teste, tak môže byť u klientov nasadená nová, kompromitovaná verzia aplikácie.

Bezpečnosť už nemožno vnímať cez výslednú aplikáciu, musí byť zapracovaná do celého SDLC

Bezpečnosť začína pri návrhu architektúry, pokračuje prácou so zdrojovým kódom, správou prístupov, až po kompiláciu, testovanie a nasadenie. Základom je správne nastavenie procesov ako sú chránené vetvy v repozitároch (protected branches), revízie kódu, riadenie prístupov, zavedenie automatizovaných bezpečnostných skenov ako SAST, DAST či skenovanie závislostí. Dôležitou súčasťou je aj transparentnosť pri použití knižníc a balíčkov napríklad pomocou Software Bill of Materials (SBOM). Až kombinácia týchto a mnohých ďalších opatrení je predpokladom, že sa bezpečnosť netýka len výsledného SW produktu, ale celého procesu od jeho vzniku až po dodanie zákazníkovi a prípadné aktualizácie.

Strategický pohľad na bezpečnosť dodávateľského ekosystému

Bezpečnosť dodávateľského reťazca už dávno presahuje rámec IT bezpečnosti a stáva sa strategickým biznisovým rizikom. V dnešnom prepojenom IT svete už nestačí investovať výhradne do ochrany vlastnej infraštruktúry. Kľúčové je systematicky riadiť riziká aj v rámci dodávateľského ekosystému a hodnotiť skutočnú bezpečnosť, nielen deklarovanú bezpečnostnú úroveň partnerov, od ktorých sú závislé vaše interné procesy a prevádzka.