Kibernetička sigurnost u opskrbnom lancu

Sažetak
‍
Kibernetička sigurnost opskrbnog lanca postala je ključna tema za organizacije svih veličina. Opskrbni lanac obuhvaća sve vanjske partnere, od IT dobavljača i SaaS alata do fizičkih dobavljača opreme ili usluga - i svaka od tih karika može predstavljati kibernetički rizik. Slaba sigurnost jednog dobavljača može ugroziti čitavo poslovanje; napadači često iskorištavaju najslabiju kariku kako bi pristupili široj mreži žrtava.

U ovom članku objašnjavamo zašto je sigurnost opskrbnog lanca važna komponenta kibernetičke obrane, koje su najčešće prijetnje i slabosti te kako male, srednje i velike tvrtke mogu upravljati tim rizicima. Donosimo stvarne primjere napada, aktualne statistike o trendovima te praktične preporuke i dobre prakse primjenjive u različitim kontekstima poslovanja.
‍
Zašto je opskrbni lanac važan za kibernetičku sigurnost
‍
Moderni poslovni sustavi oslanjaju se na čitav ekosustav dobavljača i partnera. Taj opskrbi lanac postaje produžetak naše organizacije, ako je jedan član lanca nesiguran, ugrožava sve ostale. Prema izvješću Svjetskog ekonomskog foruma, ranjivosti u opskrbnom lancu označene su kao najveća zapreka kibernetičkoj otpornosti za 54% velikih organizacija. Drugim riječima, sigurnost ekosustava često određuje sigurnost pojedine tvrtke.
‍
Važno je naglasiti da ovo nije samo problem “velikih igrača”. Napadači ne biraju žrtve po veličini, već po slaboj zaštiti, stoga su male i srednje tvrtke često na meti upravo zato što imaju skromniju zaštitu. One mogu poslužiti kao “trojanski konj” za ulazak u veće sustave ili kao laka meta za krađu podataka. U konačnici, svi su povezani: velike korporacije unapređuju svoju sigurnost, pa kriminalci traže alternativne ulaze kroz manje partnere.
‍
Napadi koji iskorištavaju opskrbni lanac došli su u središte pozornosti posljednjih godina jer mogu zaobići inače čvrste obrambene sustave. Kriminalci sve češće ciljaju dobavljače, partnere ili softverske alate velikih kompanija, umjesto da napadaju direktno same kompanije, čime stječu pristup mnoštvu povezanih organizacija.

Vidjeli smo to u globalno razornim incidentima poput NotPetya (kada je kroz računovodstveni softver dobavljača MeDoc ransomware poharao međunarodne kompanije), zatim hakiranja SolarWindsa (kompromitacija softverskih ažuriranja utjecala je na tisuće klijenata, uključujući vladine agencije), proboja Okta sustava (napad preko treće strane - pružatelja podrške, ugrozio je podatke brojnih korisnika), te zlouporabe ranjivosti alata MOVEit u 2023. (kojom je ransomware grupa kompromitirala stotine organizacija). Ovi primjeri ilustriraju kako napad na jednog dobavljača može imati lančane posljedice globalnih razmjera.
‍
Situacija se mijenja tako da opskrbi lanac postaje “prva linija bojišnice” kibernetičke sigurnosti. Statistike pokazuju zabrinjavajući trend: više od jedne trećine svih proboja podataka u 2024. godini započelo je kompromitacijom treće strane (dobavljača ili partnera). Čak 41% ransomware incidenata danas uključuje element opskrbnog lanca, primjerice, napadači ucjenjuju tvrtke iskorištavanjem ranjivosti u široko korištenim softverskim rješenjima dobavljača. Drugim riječima, šansa da će sigurnosni incident doći “sa strane” više nije zanemariva, već čini značajan dio ukupnog rizika.
‍
Za fizičke opskrbne lance, prijetnje su možda manje očite, ali jednako realne. Ako je, primjerice, vaš logistički partner žrtva kibernetičkog napada (poput ransomwarea koji paralizira sustave za dostavu), i vaše poslovanje će trpjeti posljedice kašnjenja ili prekida usluge. Slično tome, proizvođač fizičkih komponenti koji isporučuje vašoj tvrtki može biti meta sabotaže ili krađe podataka o proizvodu. U doba digitalizacije, granica između fizičke i informacijske sigurnosti briše se, kvar u IT sustavu dobavljača može zaustaviti fizički protok robe, a fizički upad može ugroziti digitalne podatke.
‍
Sve navedeno čini opskrbni lanac kritičnom komponentom cjelokupne sigurnosne strategije. Organizacije moraju proširiti fokus zaštite izvan vlastitih vrata, na cijelu mrežu suradnika. U nastavku razmatramo koje su najčešće prijetnje i slabe točke vezane uz dobavljače te kako pristupiti upravljanju tim rizicima u malim, srednjim i velikim poduzećima.
‍
Najčešće prijetnje i slabosti u opskrbnom lancu
‍
Prijetnje koje vrebaju kroz opskrbni lanac raznolike su i pogađaju sve tipove partnera, od digitalnih do fizičkih. Evo najčešćih scenarija i slabosti:
‍
• Proboji podataka kod trećih strana: Vaši dobavljači usluga (npr. obrađivači podataka, vanjski računovodstveni servisi, cloud i SaaS provajderi) mogu biti žrtve napada. Ako napadač probije njihov sustav, osjetljivi podaci vaše kompanije mogu biti ugroženi. Statistike pokazuju da gotovo 98% organizacija surađuje s barem jednim dobavljačem koji je doživio povredu podataka - gotovo da nema tvrtke koja nije dotaknuta ovim rizikom. To uključuje i fizičke partnere koji čuvaju ili transportiraju vaše informacije ili robu (npr. kurirske službe s podacima o pošiljkama).
‍
• Napadi putem softverskih ažuriranja i komponenti: Softverski opskrbni lanac posebno je na udaru. Napadači ubacuju zloćudni kod u legitimne nadogradnje softvera ili popularne biblioteke koda koje koriste tisuće tvrtki. Primjer SolarWindsa jasno pokazuje kako kompromitacija jedne nadogradnje može tiho otvoriti “stražnja vrata” u mreže mnogih klijenata.

Također, ovisnost o otvorenom kodu uvodi rizike: čak 96% aplikacija sadrži komponente otvorenog koda (prosječno preko 500 komponenti po aplikaciji), koje mogu imati neotkrivene ranjivosti. Ako se pojavi propust poput Log4Shell (kritična ranjivost u popularnoj biblioteci Log4j krajem 2021.), on pogađa gotovo sve korisnike te biblioteke diljem svijeta – što je de facto globalni lančani incident. Problem je što organizacije često nemaju potpunu kontrolu niti uvid u sigurnost koda koji nabavljaju ili reuse-aju od trećih strana.
‍
• Ranjivi dobavljači s nedovoljnim mjerama zaštite: Mnoge manje partnerske firme možda nemaju resurse ili znanje za snažnu obranu. Napadači to znaju i ciljaju takve subjekte kao “lak plijen”. Klasik je primjer proboj Targeta 2013. - hakeri su ušli u mrežu velikog lanca trgovina preko kompromitiranog računa malog HVAC servisera (dobavljača usluge klimatizacije).
‍
Slično tome, Okta incident 2022. dogodio se jer su napadači upali u sustav tvrtke za korisničku podršku koju je Okta koristila, čime su stekli pristup povjerljivim podacima. U ovakvim napadima, krajnja meta je veća organizacija, ali ulazna točka je slabiji partner.
‍
• Phishing i socijalni inženjering preko partnera: Partneri često komuniciraju s vama putem e-pošte, razmjene dokumenata i slično. Napadači mogu tu komunikaciju iskoristiti, npr. lažno se predstavljajući kao vaš dobavljač i šaljući maliciozne upute ili dokumente (klasičan supply chain phishing). Ako zaposlenici vjeruju da poruka dolazi od pouzdanog partnera, veća je šansa da će kliknuti na zlonamjerni link ili izvršiti traženu radnju.

Ovakvi napadi mogu dovesti do krađe pristupnih podataka ili unošenja malwarea u sustav. Činjenica je da se phishing pojavljuje u svim industrijama i sektorima opskrbnog lanca, često kao uvod u veći napad.
‍
• Ransomware i masovna eksploatacija zajedničkih alata: Ransomware grupe sve češće ciljaju univerzalne alate i usluge koje koristi mnogo organizacija. Time jednim udarcem ucjenjuju desetke ili stotine tvrtki. Primjer je nedavni val napada grupe Cl0p koji je iskoristio 0-day ranjivosti u popularnim alatima za prijenos datoteka (MOVEit Transfer, Fortra GoAnywhere, itd.). Udarom na ranjivost takvog softvera koji koristi mnoštvo organizacija, uspjeli su kompromitirati stotine tvrtki odjednom i ukrasti njihove podatke.

Slično tome, ransomware napad na Change Healthcare (velikog procesora medicinskih uplata u SAD-u) poremetio je rad praktički svih bolnica koje su oslanjaju na tu uslugu. Napad na CDK Global (SaaS platformu za auto-dilere) privremeno je onemogućio rad tisućama auto-salona. Ovi slučajevi pokazuju koliko su single point-of-failure dobavljači opasni, kad ključni pružatelj usluge padne, padnu i svi oslonjeni na njega.
‍
• Slaba točka u fizičkom lancu opskrbe: Osim digitalnih rizika, postoje i fizički sigurnosni izazovi koji imaju kibernetičke posljedice. Primjerice, ugrađeni zlonamjerni hardver ili sabotaža tijekom proizvodnje/opskrbe IT opreme (tzv. hardware backdoors) mogu kompromitirati sigurnost uređaja prije nego stignu do krajnjeg korisnika.

Dostavljači ili terenski partneri s pristupom vašim lokacijama mogli bi (namjerno ili nenamjerno) unijeti sigurnosni incident - npr. putem zaraženog prijenosnog računala spojenog na mrežu ili nepažljivim rukovanjem osjetljivim materijalima. Iako se ovi scenariji rjeđe ostvaruju, treba ih uzeti u obzir za organizacije s kompleksnim fizičkim lancima opskrbe (npr. proizvodne tvrtke, logistika, kritična infrastruktura).
‍
Što je lanac kompleksniji, to je teže provjeriti i nametnuti sigurnosne standarde na svakom koraku. U manje reguliranim industrijama dobavljači možda nemaju poticaj ili obvezu biti transparentni o sigurnosti. Upravo tu nastaje prostor koji napadači iskorištavaju. U konačnici, otpornost cijelog ekosustava određena je njegovom najslabijom karikom.
‍
Perspektive: mali, srednji i veliki – s čime se suočavaju?
‍
Rizici opskrbnog lanca pogađaju sve, ali nisu sve organizacije jednako opremljene da se nose s njima. Evo kako situacija izgleda za različite veličine poduzeća:
‍
• Mala poduzeća: Ograničeni resursi i manjak stručnog kadra čine mala poduzeća posebno ranjivima. Često nemaju formalne procese provjere sigurnosti dobavljača - skloni su vjerovati većim partnerima ili koristiti popularne SaaS alate “na povjerenje”. Paradoksalno, iako mali misle da nisu na meti, upravo su oni često napadnuti. Razlog je jednostavan: napadači pretpostavljaju (često opravdano) da male tvrtke imaju slabiju zaštitu. Kroz njih se mogu “prošvercati” do vrijednih meta ili ukrasti podatke koje mali partneri drže (npr. podatke klijenata većih kompanija).

Tako su mala IT outsourcing poduzeća ili samostalni administratori nerijetko ulazna točka – haker kompromitira njih i iskoristi privilegirani pristup koji imaju kod većih klijenata. Mali biznisi također se oslanjaju na nekolicinu ključnih dobavljača (npr. jedan računovodstveni servis, jedan hosting provider). Takav single-source aranžman znači da im i manji incident kod dobavljača može potpuno zaustaviti poslovanje.

Nažalost, istraživanja pokazuju da čak 60% malih firmi prestane s radom u roku od 6 mjeseci nakon težeg cyber napada, što ilustrira koliki je ulog za njih. Za male je stoga ključno da uz minimalna ulaganja postave osnovne mehanizme provjere i zaštite (što ćemo opisati u preporukama).
‍
• Srednja poduzeća: Srednje velike tvrtke nalaze se negdje u sredini, imaju nešto više resursa i vjerojatno IT tim, ali možda još nemaju posve razvijene procese upravljanja rizicima trećih strana. One često surađuju i s većim korporacijama (kao dobavljači) i s manjim firmama (kao klijenti ili partneri). U praksi to znači da srednji poslovni sustavi mogu biti “posredna žrtva”: napadač ih ugrozi kako bi došao do njihovog velikog klijenta, ili preko nekog njihovog manjeg dobavljača dođe do njih.

Srednje tvrtke sve više uvode formalnije due diligence provjere pri odabiru dobavljača (provjeravaju reputaciju, traže certifikate poput ISO 27001, ugovaraju NDA i sigurnosne klauzule). No, provođenje detaljnih sigurnosnih revizija svakog partnera često im je logistički i financijski teško.

Također, mnoge srednje firme ubrzano usvajaju cloud i SaaS rješenja radi učinkovitosti, što znači da velik dio njihove infrastrukture počiva na povjerenju prema tim vanjskim platformama. Ako one padnu (zbog kvara ili napada), srednja firma može pretrpjeti ozbiljan prekid posla. Primjerice, ako srednja proizvodna tvrtka koristi jedan ključni software za upravljanje zalihama putem SaaS-a, ransomware napad na tog SaaS providera paralizirat će njezinu proizvodnju.

Srednji moraju balansirati između zahtjeva većih klijenata (koji će od njih tražiti određeni nivo sigurnosti kao uvjet suradnje) i vlastite potrebe da vjeruju svojim dobavljačima. U tranziciji su da formaliziraju upravljanje rizikom opskrbnog lanca i često im treba stručna podrška ili smjernice (npr. nacionalni CERT, industrijske udruge, konzultanti) kako bi to učinkovito napravili.
‍
• Velika poduzeća: Veliki sustavi i korporacije tipično imaju kompleksne opskrbne lance s tisućama dobavljača diljem različitih kategorija (IT usluge, softver, hardware, konzultanti, logistika, održavanje itd.). Za njih je upravljanje trećim stranama (Third-Party Risk Management – TPRM) postalo zasebna disciplina. Velike kompanije sve češće uspostavljaju formalne programe procjene sigurnosti dobavljača: prije sklapanja ugovora ispituju se sigurnosne prakse dobavljača, traže se upitnici o sigurnosti, certifikati (npr. ISO 27001, SOC 2 izvješća), provode se pen-testovi ili audit kod kritičnih pružatelja usluga. Neki veliki čak zahtijevaju od dobavljača da postignu određenu razinu sigurnosti prije nego ih uključe u lanac.

Međutim, izazov je ogromna skalabilnost, nije moguće svaku od tisuća tvrtki detaljno nadzirati. Fokus se zato stavlja na kritične dobavljače (one čiji bi pad najviše naštetio poslovanju). Njih se prati pojačano, dok se za manje kritične uvode standardizirane kontrole. Veliki sustavi također koriste tehnološke alate za kontinuirani nadzor - npr. servise koji prate sigurnosni rejting dobavljača (poput SecurityScorecard, BitSight i sl.) ili integriraju upozorenja iz threat intelligence o incidentima kod partnera.

Unatoč resursima, veliki se suočavaju s problemom međuovisnosti: njihov lanac dobave je globalan i oslanja se na neke sistemski važne provajdere (npr. Microsoft, Amazon AWS, SAP). Ti provajderi su toliko veliki da su i sami potencijalna jednotočka zastoja (engl. single point of failure)  ako imaju prekid ili napad, efekt se prelijeva na mnoštvo kompanija.

Veliki su svjesni tog sistemskog rizika pa rade na planovima kontinuiteta poslovanja i redundanciji (npr. multi-cloud strategija, alternativni dobavljači). Regulativa također igra ulogu: u EU je donesena Direktiva NIS2 koja od većih i ključnih poduzeća zahtijeva strože upravljanje sigurnosnim rizicima, uključujući one koji potječu od trećih strana. Slično, za financijski sektor tu je DORA uredba, pa neusklađenost više nije opcija. Ukratko, velike organizacije ulažu značajne napore u osiguravanje svoga opskrbnog lanca, ali zbog svoje veličine i široke mreže dobavljača, one su često i meta visoko sofisticiranih “napada na lanac”.
‍
Mjere i dobre prakse za upravljanje rizikom opskrbnog lanca
‍
S obzirom na sve navedene prijetnje, koje mjere i pristupi pomažu u zaštiti opskrbnog lanca? U nastavku donosimo najbolje prakse koje organizacije mogu primijeniti -prilagođene svojoj veličini i kontekstu.

1. Mapiranje i procjena rizika dobavljača
   ‍
   Prvi korak je znati s kim poslujete i kakav rizik nose. Napravite popis svih vaših dobavljača, usluga i alata, bilo da su IT ili fizički. Zatim ih razvrstajte prema kritičnosti: Koji partneri imaju pristup osjetljivim podacima ili sustavima? Koji su ključni za kontinuitet poslovanja? Fokusirajte se na one čiji bi incident najviše zabolio.
   
   Za kritične dobavljače provodite detaljniju analizu rizika: istražite njihovu reputaciju, sigurnosne certifikate, povijest incidenata i opće sigurnosne prakse. Primjerice, u A1 Hrvatska redovito provjeravaju svoje kritične dobavljače i rade pripadajuće analize rizika vezane uz nabavni lanac.
   
   Takva provjera može uključivati sigurnosne upitnike koje dobavljač ispunjava, razgovore o njihovim mjerama zaštite, pa i provjeru javno dostupnih informacija (npr. imaju li nedavnih sigurnosnih incidenata u vijestima). Za manje dobavljače (koji nisu kritični) barem prikupite osnovne informacije i rangirajte rizik intuitivno - npr. dobavljač koji održava vašu web-stranicu nosi manji rizik od onoga koji ima pristup čitavoj internoj mreži.
   ‍

1. Ugovorne obveze i usklađivanje sa standardima
   ‍
   Sigurnost opskrbnog lanca trebala bi biti podržana formalnim ugovorima i standardima. Ugovori s dobavljačima trebaju sadržavati klauzule o informacijskoj sigurnosti i zaštiti podataka. Primjerice, ugovorom možete zahtijevati: održavanje povjerljivosti podataka, određenu razinu tehničke zaštite, obvezu prijave incidenta u roku (npr. 24 ili 48 sati od otkrića) i slično.
   
   Također, dobro je ugraditi odredbe o pravu na audit ili provjeru, možda ih nikad nećete iskoristiti, ali već sama mogućnost stvara pritisak dobavljaču da održi dobru praksu. U EU, GDPR regulativa obvezala je tvrtke da s izvršiteljima obrade (poput cloud servisa, vanjskih obrađivača podataka) sklapaju DPA (Data Processing Agreement) ugovore koji propisuju kako se podaci štite, pobrinite se da ste i to pokrili gdje je primjenjivo.
   ‍
   Potaknite dobavljače na usklađivanje s industrijskim standardima. Ako je partner certificiran za ISO 27001 (međunarodni standard upravljanja informacijskom sigurnošću) ili sličnu normu, to je dobar znak da ozbiljno shvaća sigurnost. Neki sektori imaju specifične sigurnosne standarde - npr. u financijama PCI DSS za kartične podatke, u zdravstvu HIPAA ili ISO 27799, u energetici NERC CIP itd. Provjerite jesu li vaši ključni dobavljači svjesni i usklađeni s relevantnim okvirima. Naravno, certificiranje nije garancija da se ništa loše neće dogoditi, ali podiže letvicu i znači da postoji određena razina discipline i procesa.
   ‍
   Uz standarde, pomažu i regulative koje nameću sigurnosne zahtjeve za opskrbni lanac. Već spomenuta EU direktiva NIS2 eksplicitno zahtijeva od subjekata koje obuhvaća da procjenjuju sigurnost svojih dobavljača i koriste ugovorne mjere kako bi osigurali zaštitu. Stoga, ako poslujete u sektorima kritične infrastrukture ili važnih usluga, ovo više nije samo preporuka nego i zakonska obveza.
   ‍
2. Ograničavanje povjerenja: Zero Trust prema partnerima
   ‍
   Tradicionalno se poslovni partneri promatralo s povjerenjem - npr. davao im se VPN pristup internoj mreži ili dijelilo osjetljive podatke bez mnogo provjere. Današnji pristup mora biti oprezniji. Zero Trust filozofija kaže: “Trust no one, verify everyone”. Prema partnerima to znači da im dajete minimalan potreban pristup, ništa preko onoga što im zaista treba.
   
   Ako vaš IT servis održava jednu aplikaciju, neka ima pristup samo toj aplikaciji, ne čitavoj mreži. Segmentirajte sustave tako da kompromitacija jednog partnera ne znači kompromitaciju svuda. Primjerice, ako imate eksterni call-centar koji se spaja na vaše sustave, napravite zaseban segment (VPN ili VDI okruženje) s ograničenim ovlastima za te korisnike, odvojen od ključnih baza podataka.
   ‍
   Tehničke mjere poput dvofaktorske autentikacije, jakih kontrola pristupa i audit logova trebaju se primjenjivati i na računima koji pripadaju trećim stranama. Redovito revidirajte tko od vanjskih suradnika ima pristup čemu i uklonite pristupe koji više nisu potrebni (npr. ako projekt završi ili zaposlenik kod dobavljača promijeni dužnost/napusti tvrtku). Mnoge provale događaju se upravo zbog zaboravljenih ili prekomjerno širokih ovlasti nekog partnera.
   Kod integracija sustava (npr. vaš ERP povezan s dobavljačevim sustavom za narudžbe) također vrijedi pravilo najmanjih privilegija.
   
   Ograničite razmjenu samo na nužne podatke, koristite šifrirane veze (VPN, SSH tunel, ili barem HTTPS/API s autentikacijom) kako biste spriječili presretanje komunikacije. Najbolje prakse uključuju i kontrolu pristupa na fizičkim točkama: ako partner dolazi na lokaciju, ne smije se moći spojiti na bilo koju mrežnu utičnicu bez nadzora; kreirajte posebne gostujuće mreže za posjetitelje ili izvođače radova.
   ‍
   Zero Trust prema dobavljačima nije neugodnost, već nužnost. To ne znači da sumnjate u svog partnera kao tvrtku, nego priznajte mogućnost da oni mogu biti hakirani pa njihovi pristupni podaci zloupotrijebljeni. Time štitite i sebe i njih od većih posljedica.
   ‍
3. Kontinuirano praćenje i razmjena informacija
   ‍
   Upravljanje rizikom nije “jednokratna provjera na početku suradnje” to je kontinuirani proces. Kao što se i vaša vlastita infrastruktura mora stalno nadzirati, tako treba motriti i širu sliku sigurnosti opskrbnog lanca. Evo nekoliko praksi:
   ‍
   • Praćenje sigurnosnih vijesti i obavijesti: Budite informirani o incidentima koji se događaju kod vaših dobavljača ili u njihovim industrijama. Ako sutra osvane vijest da je npr. popularni SaaS alat koji koristite pretrpio napad, želite to saznati odmah (ne tjednima kasnije od treće ruke). Pretplatite se na mailing liste ili RSS izvore relevantnih CERT-ova, sigurnosnih portala ili newslettera koji prate dobavljače. Mnoge velike kompanije surađuju s threat intelligence servisima upravo da bi dobile rane signale o prijetnjama u svom lancu.
   ‍
   • Redoviti sigurnosni upitnici / revizije: Za ključne partnere ugovorite periodične provjere - npr. godišnji sigurnosni upitnik gdje će vas izvijestiti o svim većim promjenama u njihovom sigurnosnom programu, eventualnim incidentima i sl. Neki uključuju i odredbu da mogu zatražiti auditorski izvještaj ili čak provesti onsite posjetu radi provjere. Naravno, to je realnije među velikim kompanijama; za manje dobavljače možete primijeniti pristup “uzajamnog povjerenja uz provjeru” - održavajte otvorenu komunikaciju o sigurnosti, pitajte ih koje mjere poduzimaju i ponudite pomoć ili smjernice ako uočite nedostatke (to može biti i prilika za izgradnju boljeg odnosa).
   ‍
   • Korištenje alata za nadzor trećih strana: Pojavile su se
   platforme koje procjenjuju cyber higijenu tvrtki na temelju javno dostupnih podataka (scan otvorenih portova, istjecanja lozinki, izdanih zakrpi i sl.). One vam daju neku vrstu “kreditnog rejtinga” za sigurnost dobavljača. Primjeri su SecurityScorecard, BitSight i dr. Iako ti bodovi nisu savršeni, mogu poslužiti kao indikativni alarm – ako vidite da ocjena nekog važnog partnera naglo padne, vrijeme je da istražite što se zbiva (možda su imali incident ili su im istekli certifikati, što god).
   ‍
   • Provođenje testova i simulacija: Neke organizacije idu korak dalje i uključuju dobavljače u svoje simulacije napada ili vježbe odgovora na incidente. Primjerice, organizirate tabletop vježbu scenarija “dobavljač X je kompromitiran, kako reagiramo?” ili dogovorite penetracijsko testiranje integracije između vas i partnera (uz njihov pristanak). Time svi skupa jačate pripravnost. Konzum i Fortenova grupa navode da provode redovite revizije sigurnosnih postavki i simulacije napada kako bi bili sigurni da njihove politike i tehničke mjere funkcioniraju, što uključuje i provjeru partnera.
   ‍
   • Razvijanje plana za incidente dobavljača: Kao dio vašeg Incident Response plana, obuhvatite i scenarije kad je problem izvan vaše kuće - npr. što ako cloud usluga na kojoj imate podatke bude hakirana? Imate li proceduru kako obavijestiti korisnike, prebaciti se na alternativu ili privremeno obustaviti neke procese? Ako ključni dobavljač padne, imate li backup rješenje ili barem plan kako nastaviti djelovati (tzv. business continuity plan)? O tome treba promisliti unaprijed. Napad na velikog providera može uzrokovati prekide u cijelim industrijama, stoga otpornost znači imati spremne odgovore.
   ‍
4. Edukacija i svijest kroz cijeli lanac
   ‍
   Ljudi su često najslabija karika, bilo unutar vaše organizacije ili kod vaših partnera. Zato je ulaganje u edukaciju jedna od najboljih obrana od supply chain napada. Unutar tvrtke osposobite zaposlenike da prepoznaju sumnjive aktivnosti čak i ako dolaze “legitimnim kanalima”. Na primjer, financijski odjel treba biti svjestan opasnosti tzv. BEC prijevara (netko se predstavlja kao dobavljač i traži hitnu isplatu na novi račun) pravilna procedura provjere takvih zahtjeva može spriječiti krađu. IT osoblje treba biti oprezno prilikom integracija i ažuriranja: npr. provjeravati digitalne potpise softvera, testirati zakrpe u izoliranom okruženju prije produkcije, i pratiti objave dobavljača o sigurnosnim zakrpama.
   ‍
   Velike kompanije često dijele dio svoje edukacije i sa partnerima. Trening za partnere može biti win-win: ako imate npr. distributere ili franšize koje rukuju vašim sustavima, pružite im trening o osnovnim sigurnosnim praksama. Konzum je istaknuo da u sklopu svoje strategije upravljanja sigurnošću provodi edukaciju ne samo zaposlenika nego i partnera, kako bi svi bili svjesni prijetnji. Time se stvara kultura sigurnosti duž cijelog lanca vrijednosti.
   ‍
   Redovno komunicirajte s dobavljačima o sigurnosti: dijelite vaša očekivanja, obavijestite ih ako uočite kod njih nešto zabrinjavajuće (npr. “Primijetili smo da vaš poslužitelj za razmjenu dokumenata nije dostupan, je li sve u redu? Obavijestite nas ako sumnjate na incident.”). Podijelite i pozitivne prakse - ako imate npr. vodič za sigurnu konfiguraciju nečega, možete ga ustupiti manjim partnerima kojima možda nedostaju takvi resursi.
   
   Cilj je izgraditi povjerenje i transparentnost: dobavljač treba znati da vam može prijaviti problem bez straha da ćete ga odmah sankcionirati ili raskinuti ugovor (osim ako je krajnje neodgovoran). Bolje je da čujete istinu odmah i zajednički sanirate, nego da se problemi guraju pod tepih.
   ‍
5. Tehnologije i metode zaštite
   ‍
   Osim upravljačkih i procesnih mjera, vrijedi iskoristiti i tehnološka rješenja za osiguravanje opskrbnog lanca:
   ‍
   • Skeneri koda i integriteta softvera: Ako razvijate softver, ugradite alate za Softver Composition Analysis (SCA) i skeniranje otvorenog koda kako biste pravovremeno saznali imate li ranjive komponente u projektu. Također koristite hash provjere i potpisivanje koda za interne procese, da se spriječi ubacivanje malicioznog koda u build pipeline (lekcija naučena iz SolarWindsa). Veće organizacije već primjenjuju takve kontrole i traže od dobavljača softvera da prate slične prakse. Koncept SBOM (Software Bill of Materials) dobiva na važnosti, popis svih komponenti i verzija u softveru, što olakšava provjeru rizika.
   ‍
   • Endpoint zaštita i mrežni nadzor: Implementirajte kvalitetnu EDR/antivirus zaštitu i na sustavima koji su u doticaju s partnerima. Primjerice, računala koja se spajaju na portale dobavljača ili učitavaju datoteke od njih moraju biti ažurirana i nadzirana. Network segmentation (kako već spomenuto) i IDS/IPS sustavi mogu detektirati čudne aktivnosti koje bi signalizirale da je možda partnerov račun kompromitiran (npr. odjednom vaš FTP server prima veze iz neobičnih lokacija preko korisničkih kredencijala dobavljača).
   ‍
   • Šifriranje i zaštita podataka: Svi kanali s partnerima, bilo da dijelite datoteke, API pristup ili email komunikaciju – trebaju biti šifrirani. Time se smanjuje rizik presretanja podataka u tranzitu. Razmotrite i tokenizaciju ili pseudonimizaciju osjetljivih podataka koje dijelite: ako partneru ne treba vidjeti stvarne osobne podatke klijenata, nemojte ih slati u izvornom obliku.
   ‍
   • Kontrola verzija i patch management: Održavajte dobru praksu zakrpa i od verzija softvera koje koristite od dobavljača. Pratite sigurnosne nadogradnje njihovih proizvoda i primjenjujte ih što prije (nakon osnovnog testiranja). Mnoge supply chain kompromitacije događaju se kroz poznate ranjivosti za koje je zakrpa dostupna, ali primijenjena prekasno. Ako koristite staru verziju softvera jer vam je prilagođena, ostvarili ste vendor lock-in rizik, surađujte s dobavljačem da pronađete put do sigurnije verzije ili rješenja.
   ‍
   • Provjera isporuka i fizička sigurnost: Kod fizičkih dobavljača opreme, provjerite integritet isporučenih uređaja (npr. postoje li indikacije neovlaštenog otvaranja paketa, da li se firmware podudara sa službenim). Razvijte protokole za prihvat opreme: spajajte je prvo na izoliranu mrežu, ažurirajte firmware na zadnju verziju prije produkcije, itd. U ugovorima s dobavljačima hardwarea možete zahtijevati i sudjelovanje u njihovim programima “trusted supplier” gdje se jamči lanac čuvanja od tvornice do vas.
   ‍
   U suštini, cilj je minimizirati šanse da vas partner ugrozi i minimizirati štetu ako se to dogodi. Najbolje organizacije u svijetu već primjenjuju kombinaciju navedenih pristupa: pridržavaju se međunarodnih standarda, koriste šifriranje u komunikaciji, redovito testiraju sigurnost svojih rješenja (pa i dobavljačkih), ulažu u napredne tehnologije obrane te kontinuirano educiraju svoje ljude.
   Kolektivna obrana za otporniji lanac
   ‍
   Kibernetička sigurnost opskrbnog lanca više nije nešto što se može prepustiti slučaju ili riješiti jednim alatom. To je kontinuirani proces i zajednička odgovornost, vaš sigurnosni položaj ovisi i o drugima, baš kao što i njihova sigurnost može ovisiti o vama. U svijetu gdje je svaka karika povezana, ulaganje u jačanje najslabijih karika je ulaganje u vlastitu otpornost.
   ‍
   Dobre vijesti su da svijest o ovome raste. Regulativa, poput NIS2, prisiljava organizacije da sustavno pristupe upravljanju rizicima trećih strana, a uprave kompanija sve više razumiju da je sigurnost opskrbnog lanca strateško pitanje, a ne samo tehnički detalj. No, mnogi još traže pravi put kako učinkovito smanjiti te rizike, stoga je važno nastaviti ulagati u podizanje svijesti, usavršavanje procesa i jačanje otpornosti cijelog ekosustava.
   ‍
   Na kraju, vrijedi ponoviti: lanac je jak onoliko koliko i njegova najslabija karika. Pobrinite se da te najslabije karike ojačaju, kroz edukaciju, suradnju, provjeru i podršku, umjesto da budu iskorištene od napadača. Proaktivnim i profesionalnim pristupom kibernetičkoj sigurnosti opskrbnog lanca, svaka organizacija - mala, srednja ili velika - može značajno smanjiti rizik i sigurnije ostvarivati svoje poslovne ciljeve u povezanom svijetu.

‍