Supply chain attack je kybernetický útok, který míří na méně zabezpečené články v dodavatelském řetězci cílové organizace. Místo přímého útoku na vaše firewally útočníci kompromitují vašeho dodavatele softwaru, IT podpory nebo cloudových služeb a zneužijí důvěryhodný kanál, který mezi vámi existuje.

Pro management je zásadní pochopit, že vaše útočná plocha již není ohraničena vaší vlastní infrastrukturou. Zahrnuje všechny třetí strany, se kterými sdílíte data, systémy nebo procesy. Selhání jednoho dodavatele může vyvolat kaskádový efekt, který ochromí vaše operace a přenese se na vaše zákazníky. Zabezpečení dodavatelského řetězce proto není technický detail, ale základní pilíř byznys kontinuity.

Rizika dodavatelského řetězce

Co to je

Útok, který nejde přímo proti vaší firmě, ale přes vašeho důvěryhodného dodavatele (software, služby, podpora). Zneužívá vaší spolupráce k obejití vaší vlastní obrany.

Proč je to problém

Digitální byznys je síť dodavatelů. Slabý článek mimo vaši kontrolou může ochromit vaše operace, vést k úniku dat, vysokým pokutám a poškození reputace.
Co hrozí (příklad pro banku): Kompromitace dodavatele cloudového bankovního jádra by mohla znamenat výpadek platebních systémů, únik klientských dat a okamžitý zájem regulátora.

Plán opatření: Prvních 90 dnů

01
Vytvořte inventář klíčových (Tier 1) dodavatelů s přístupem k datům/systémům.
02
Vynuťte vícefaktorovou autentizaci (MFA) pro všechny přístupy dodavatelů do vašich systémů.
03
Přepište smlouvy a SLA – zakotvěte právo na audit a povinnost hlásit incidenty do 24 hodin.
04
Spusťte první „tabletop“ cvičení (simulaci selhání kritického dodavatele) s vedením.

Kde je dnes riziko: 4 hlavní vektory

  1. Neviditelné nástroje (Shadow IT): SaaS aplikace nasazené odděleními mimo dohled IT vytvářejí neznámé vstupní body bez bezpečnostního prověření.
  2. Kompilace softwaru (CI/CD): Automatizované vývojové prostředí dodavatelů je lukrativní cíl. Infiltrace zde umožňuje vložit škodlivý kód přímo do legitimních aktualizací.
  3. Geopolitické závislosti: Dodávky technologií z nestabilních regionů nesou riziko přerušení kvůli sankcím, konfliktům nebo zákonům o přístupu státu k datům.
  4. AI a sociální inženýrství: Deepfake technologie umožňují se věrohodně  vydávat za vaše manažery nebo zástupce dodavatelů s cílem autorizovat podvodné transakce.

Ponaučení z historie: 3 klíčové incidenty

Posuňte tabulku doprava →
Incident (Rok) Co se stalo Ponaučení pro firmy
SolarWinds (2020) Útočníci infiltrovali vývojové prostředí dodavatele IT monitoringu a distribuovali škodlivý kód skrze legitimní aktualizace tisícům klientů. Ne slepě důvěřovat automatickým aktualizacím. I podepsaný software může být kompromitován u zdroje.
MOVEit (2023) Zneužití zero-day zranitelnosti v populárním nástroji pro přenos souborů vedlo k hromadnému úniku dat z tisíců organizací najednou. Komoditní nástroje vyžadují revizi. I jednoúčelový software, který používá mnoho firem, představuje systémové riziko ("jediný bod selhání").
NotPetya (2017) Kompromitace ukrajinského účetního softwaru vedla k šíření destruktivního malwaru, který paralyzoval globální korporace (např. Maersk). Místní dodavatel, globální dopad. Útok na malý regionální článek může vyvolat kaskádovou destrukci napříč mezinárodním dodavatelským řetězcem.
Útok na dodavatelský řetězec Log4j

Co to znamená pro banky a regulované firmy

Pro finanční sektor s regulatorními rámcemi jako DORA nebo NIS2 je řízení dodavatelského řetězce přímo předepsanou povinností. Zaměřte se na:

  • Evidence a klasifikace: Mít jasný a aktualizovaný seznam kritických (Tier 1) dodavatelů.
  • Koncentrace rizika: Identifikovat, kde se spoléháte na jednoho dodavatele („vendor lock-in“) a hledat alternativy.
  • Incident reporting: Mít smluvně zajištěno, že vás dodavatel bude o narušení bezpečnosti informovat dostatečně rychle, abyste stihli své regulatorní ohlašovací lhůty.
  • Testování odolnosti: Provádět s klíčovými dodavateli společná cvičení a mít právo na nezávislé audity jejich zabezpečení.

Ekonomické dopady a rizika dodavatelského řetězce

Ekonomický dopad útoků (mld. USD)

Ekonomické náklady na útoky v softwarovém řetězci rostou raketovým tempem, do roku 2031 se očekává trojnásobné navýšení oproti roku 2023.

Riziko třetích stran

30 %
všech datových úniků (2025)

Dle zprávy Verizon 2025 tvoří incidenty u třetích stran 30 % všech datových úniků, což jasně poukazuje na zranitelnost moderního byznysu zvenčí.

Poznámky k datům:

  • Data nákladů za rok 2031 jsou predikcí.
  • Podíl nárůstu a statistik vychází z externích průzkumů a výročních zpráv o vyšetřování incidentů (např. Verizon 2025).

Akční plán: 4 fáze obrany

Fáze 1: Zmapování a prioritizace (Základ)

Nelze chránit všechno stejně. Zaveďte tieringovou strategii:

  • Tier 1 (Kritičtí): Přímý přístup k produkčním systémům/citlivým datům. Jejich selhání = okamžitý dopad na byznys.
  • Tier 2 (Podpora): Nepřímý/omezený přístup.
  • Tier 3 (Komoditní): Bez systémového přístupu.

U všech rolí aplikujte princip Zero Trust – žádná implicitní důvěra, každý přístup se musí ověřit.

Fáze 2: Technická a smluvní opevnění

  • Požadujte SBOM (Software Bill of Materials): „Balicí list“ softwaru dodavatele, který obsahuje seznam všech komponent. Umožní vám během hodin zjistit, zda nová zranitelnost (jako Log4j) ohrožuje i vás.
  • Omezte přístupy: Zaveďte JIT (Just-in-Time) přístup – oprávnění se aktivuje pouze na konkrétní úkol a čas. Ukončete permanentní VPN tunely.
  • Smluvně si pojistěte reakci: V SLA musí být jasně definovaná doba hlášení incidentu (např. do 24 hodin), právo na audit a povinnost dodavatele podílet se na vašich krizových cvičeních.

Co je to SBOM (Software Bill of Materials)?

+

Software se skládá z vrstev. SBOM ukazuje, co je uvnitř – abyste jej mohli zabezpečit. Je těžké zabezpečit to, co nevidíte. Většina aplikací spoléhá na open-source knihovny, balíčky dodavatelů a skryté závislosti – někdy jich jsou stovky. Software Bill of Materials (SBOM) uvádí každou komponentu ve vašem kódu, abyste viděli, z čeho je postaven, a mohli jej udržovat bezpečnější.

Co dobrý SBOM obsahuje:

Identifikace komponenty
Název (např. log4j, openssl) a přesná verze (např. 2.14.1).
Původ a licence
Jméno dodavatele a typ licence (MIT, Apache 2.0) pro zajištění souladu.
Vztahy závislostí
Hierarchická struktura toho, jak na sobě jednotlivé komponenty závisí.
Unikátní identifikátory
Prvky jako SWID tagy nebo Package URL (purl) pro automatizaci.

Standardizované formáty

Vlastnost SPDX CycloneDX SWID
Zaměření Licencování, compliance Bezpečnost, zranitelnosti Inventář, správa aktiv
Vyvinuto Linux Foundation OWASP Foundation ISO/IEC
Vhodné pro Audity a Open Source DevSecOps a CI/CD IT Asset Discovery

Proč na SBOM záleží v praxi?

Nedávné bezpečnostní incidenty (jako SolarWinds) ukázaly, jak riskantní mohou být skryté závislosti. S SBOM mohou týmy:

  • Skenovat zranitelnosti proti známým databázím hrozeb.
  • Ověřovat dodržování licencí a posuzovat rizika.
  • Rychle reagovat, když se objeví nové hrozby.
  • Dokumentovat auditní stopy pro regulační požadavky.

Fáze 3: Příprava na selhání

  • Tabletop cvičení: Pravidelně (min. 2x ročně) simuluje s vedením, právníky a PR scénář výpadku kritického dodavatele. Tato cvičení sjednocují pohled CISO a CEO na riziko a prověřují, zda máte funkční plán B.
  • Budujte redundanci: Pro nejkritičtější služby hledejte důvěryhodné alternativy, abyste se vyhnuli totální závislosti na jednom dodavateli.

Fáze 4: Optimalizace a monitoring

  • Automatizujte dohled: Nasazujte nástroje, které průběžně monitorují bezpečnostní postavení vašich dodavatelů (např. na základě externích skenů, ratingů).
  • Integrujte do procesů: Bezpečnostní požadavky musí být standardní součástí výběru, nákupu a správy dodavatelů.

Implementační roadmapa (Realistický pohled)

Toto tempo je orientační. Skutečná rychlost závisí na velikosti firmy, technologickém dluhu a regulatorních požadavcích.

  • První 3 měsíce (Základy): Vytvoření inventáře a klasifikace dodavatelů. U Tier 1 okamžité vynucení MFA pro přístup do interních systémů a revize nadbytečných oprávnění.
  • 3–6 měsíců (Integrace): Přepis smluv u nových kontraktů, začátek požadování SBOM od klíčových dodavatelů, první tabletop cvičení.
  • 6–12 měsíců (Konsolidace): Zavádění JIT/RBAC modelů pro přístupy, tvorba plánů byznys kontinuity pro selhání top 5 dodavatelů, diverzifikace kritických závislostí.

Závěr a shrnutí

Útoky na dodavatelský řetězec nejsou novou hrozbou, ale v hyperpropojeném světě se stávají dominantním vektorem. Jejich dopad přesahuje rámec IT oddělení – ohrožují provozní kontinuitu, finanční stabilitu a reputaci firmy.

Klíčová sdělení pro vedení:

  1. Riziko je systémové: Vaše bezpečnost je tak silná jako bezpečnost nejslabšího článku vašeho dodavatelského řetězce.
  2. Důvěra nestačí: Přístup „důvěřuj, ale prověřuj“ je nedostatečný. Je třeba přejít na model „nulové důvěry“ s průběžným ověřováním.
  3. Začněte jednoduše: Nejefektivnější první kroky (inventura, MFA, smluvní klauzule) nevyžadují velké investice, ale výrazně snižují riziko.
  4. Cvičte selhání: Pravidelné simulace krizových scénářů jsou nejlepší investicí do připravenosti a sjednocení vedení.
  5. Regulace to vyžaduje: Pro finanční sektor a další regulovaná odvětví není řízení dodavatelského řetězce volbou, ale právní povinností.

Závěrem: Odolnost vůči útokům na dodavatelský řetězec se nestaví nákupem jednoho nástroje. Vyžaduje změnu firemní kultury – od vnímání dodavatelů jako externích poskytovatelů k chápání jejich role jako rozšíření vaší vlastní organizace, jejíž bezpečnost je předmětem vašeho strategického zájmu.

Checklist pro CTO: První kroky

DOKONČENO: 0%
Máme aktualizovaný seznam všech dodavatelů s přístupem k našim systémům/datům?
Je u všech kritických (Tier 1) dodavatelů vynuceno MFA?
Obsahují naše smlouvy klauzule o hlášení bezpečnostních incidentů a právu na audit?
Víme, který jediný dodavatel by svým výpadkem nejvíce ohrozil náš provoz?
Máme pro tuto situaci alespoň základní krizový plán?
Máme plán tréninků reakce na bezpečnostní incident s klíčovými lidmi z byznysu?

Hledáte partnera, který vám pomůže s IT zabezpečením?

Kontaktujte nás

Zdroje

Často kladené dotazy

Jde o kybernetický útok, který neútočí přímo na vaši firmu, ale využívá jako „zadní vrátka“ vašeho důvěryhodného dodavatele softwaru nebo služeb. Útočníci kompromitují dodavatelský systém a skrze něj následně proniknou do infrastruktury jeho klientů.

Riziko se určuje na základě přístupu dodavatele k vašim datům a systémům. K identifikaci rizikových partnerů slouží tieringová strategie (rozdělení na úrovně Tier 1 až Tier 3), kde Tier 1 představují dodavatelé s přímým přístupem k produkci, jejichž selhání má okamžitý dopad na vaše operace.

SBOM (Software Bill of Materials) je „balicí list“ softwaru, který obsahuje seznam všech použitých komponent a knihoven. Umožňuje vám rychle zjistit, zda se nově objevená zranitelnost v softwaru třetí strany dotýká i vašich systémů a kolik času máte na reakci.

Nelze slepě důvěřovat automatickým aktualizacím, i když jsou digitálně podepsané. Doporučuje se omezit nadbytečná oprávnění softwaru, využívat principy Zero Trust a u kritických systémů provádět důkladné testování aktualizací v izolovaném prostředí před jejich nasazením.

Klíčem je rychlá komunikace a existence krizového plánu. Smlouvy by měly obsahovat povinnost dodavatele hlásit incidenty do 24 hodin. Následovat by měla aktivace krizového scénáře, který prověří, k jakým datům či systémům měl útočník skrze dodavatele přístup, a přijetí opatření k izolaci systému.

Mezi nejčastější chyby patří neexistence přehledu o všech dodavatelích (včetně těch z oblasti Shadow IT), absence smluvně ošetřeného práva na audit a neprovádění pravidelných „tabletop“ cvičení, která simulují výpadek klíčových partnerů.

Diverzifikace je žádoucí především u kritických služeb (Tier 1), kde by výpadek dodavatele znamenal zastavení byznysu. U méně kritických dodavatelů se doporučuje alespoň vyhodnotit koncentraci rizika (vendor lock-in) a mít připravený plán, jak jejich služby nahradit v případě selhání.

Zdroje doporučují provádět cvičení zaměřená na krizové scénáře minimálně dvakrát ročně. Tato cvičení by měla zahrnovat nejen technické týmy, ale i vedení společnosti, právní oddělení a PR, aby byla zajištěna koordinovaná reakce na možný bezpečnostní incident.
Ohodnoťte prosím příspěvek. Díky tomu budeme vědět, na jaký obsah se v budoucnu soustředit.

Chcete být informováni o nových článcích na blogu Solutia?

Sledujte aktuální novinky a trendy z IT světa na našem profilu.

Sledovat na LinkedIn