Bezpieczeństwo łańcucha dostaw cz. 1: jak się przygotować na cyberzagrożenia z dyrektywą NIS2

Jednym z ważniejszych rozwiązań wprowadzanych przez dyrektywę NIS2 jest obowiązek kontrolowania cyberbezpieczeństwa łańcucha dostaw. W obliczu rosnącej liczby ataków oraz ich wyrafinowania, ochrona danych powierzanych partnerom i zapewnienie sobie ciągłości biznesowej staje się kluczowym zadaniem dla każdej organizacji. To jednak jednocześnie najsłabiej rozumiany element NIS2. Sprawdźmy, w jaki sposób ochronić biznes przed takim zagrożeniem.

CZEGO SIĘ DOWIESZ Z TEGO MATERIAŁU:

JAK MOGĄ WYGLĄDAĆ ATAKI Z WYKORZYSTANIEM PODATNOŚCI U DOSTAWCÓW?
CO PRZEWIDUJE DYREKTYWA NIS 2 W KONTEKŚCIE CYBERBEZPIECZEŃSTWA ŁAŃCUCHA DOSTAW?
JAKIE ASPEKTY CYBERBEZPIECZEŃSTWA POWINNY OBJĄĆ PRZYGOTOWANIA DO WDROŻENIA POSTANOWIEŃ NIS2?
DLACZEGO KONTROLOWANIE POZIOMU ZABEZPIECZEŃ IT U DOSTAWCÓW JEST TAK TRUDNE?
JAK ZMIENIA SIĘ ŚWIADOMOŚĆ I PODEJŚCIE DO CYBERBEZPIECZEŃSTWA NA POLSKIM RYNKU?

Zacznijmy od podstaw – atak przez łańcuch dostaw wykorzystuje potencjalnie słabiej chronione i mniej widoczne dla organizacji elementy infrastruktury, w szczególności należące do partnerów biznesowych. Taki cyberatak może odbywać się przez oprogramowanie lub sprzęt, a jego celem jest zwykle zaburzenie procesów produkcji lub dystrybucji towarów i świadczenia usług, co prowadzi do bezpośrednich strat finansowych zaatakowanej organizacji.

Jednocześnie są to ataki trudne do wykrycia – w końcu cyberprzestępcy wykorzystują zaufanie do partnerów, regularnych dostawców czy sprzedawców usług i urządzeń tworzących infrastrukturę IT. Posługują się złośliwym kodem dodawanym do projektów budowanych w oparciu o oprogramowanie open-source, wykorzystują komercyjne aplikacje, zmieniają funkcje urządzeń, a ostatnio wspomagają się również technikami sztucznej inteligencji do identyfikowania luk w zabezpieczeniach łańcuchów dostaw.

Zagrożona infrastruktura krytyczna

Raport Reversing Labs „The 2025 Software Supply Chain Security Report” poświęcony atakom na dostawców oprogramowania[i] wskazuje, że „bezpieczeństwo łańcucha dostaw odstaje od ogólnego poziomu cyberbezpieczeństwa, a przestępcy atakują coraz większe cele, dotykając oprogramowania zarządzającego biznesem i infrastrukturą krytyczną”.

Jakie mogą być skutki takich ataków? Powiedzmy tylko o najbardziej wyrafinowanych i największych.

W grudniu 2020 roku amerykańska firma SolarWinds Corporation padła ofiarą ataku hakerskiego. Do aktualizacji oprogramowania umożliwiającego klientom firmy skuteczniejsze zarządzanie siecią, cyberprzestępcom udało się wstrzyknąć złośliwy kod. Działaniem hakerów zostało dotkniętych 18 tys. klientów firmy, w tym organizacje rządowe wykorzystujące narzędzia SolarWinds. Seria ataków wykorzystujących luki w zabezpieczeniach firmy kosztowała ubezpieczycieli ok. 90 mln dolarów, samą firmę ok. 26 mln dolarów, a jej akcje spadły o 40 proc. w ciągu tygodnia.

Jeszcze surowsze konsekwencje przyniósł atak NotPetya w 2017 roku. Za pośrednictwem oprogramowania księgowego MEDoc (wykorzystywanego przez wiele firm do rozliczeń) pobierana była aktualizacja prowadząca do zaszyfrowania danych. Najbardziej dotknięta atakiem była Ukraina, gdzie „trafiony” został system pomiaru promieniowania w Czarnobylu, a także m.in. firmy telekomunikacyjne, banki, poczta, koleje, lotniska czy stacje benzynowe. Międzynarodowe korporacje musiały pogodzić się z kolosalnymi konsekwencjami finansowymi: Maersk raportował straty na poziomie 200 mln dolarów, FedEx – 400 mln dolarów, Merck – blisko 900 mln dolarów. W Polsce atak NotPetya również dotknął kilka firm, zwołano z jego powodu posiedzenie Rządowego Zespołu Zarządzania Kryzysowego.

Co przewiduje dyrektywa NIS2

To właśnie m.in. te incydenty pokazały, jak istotne jest bezpieczeństwo informatyczne łańcuchów dostaw. Nie brakuje wręcz głosów, że to właśnie incydent z SolarWinds zainicjował dyskusję na ten temat, a także wywołał zmiany regulacyjna prowadzące do wzmocnienia kontroli cyberbezpieczeństwa. Ten problem w znacznej części adresowany jest w dyrektywie NIS2.

Kwestie związane z łańcuchem dostaw są uregulowane w art. 7 ust.2 lit. a, art. 21 ust. 2 lit. d dyrektywy NIS2, a także w jej art. 22. Przepisy dyrektywy[ii] przewidują, że jednym z obowiązków dla kluczowych i ważnych podmiotów będzie wprowadzenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zapewnienia bezpieczeństwa łańcucha dostaw[iii].

Podmioty objęte NIS2 powinny wziąć m.in. pod uwagę:

podatności charakterystyczne dla każdego dostawcy i usługodawcy;
ogólną jakość produktów i praktyki cyberbezpieczeństwa ich dostawców i usługodawców.

Trzeba jednak otwarcie przyznać, że wytyczne zawarte w dyrektywie są bardzo ogólne i nie wymieniają konkretnych rozwiązań technicznych. Nie ma obecnie żadnych standardowych metod pozwalających oceniać ryzyko w łańcuchu dostaw. Każdorazowo taka ocena musi zostać przeprowadzona indywidualnie dla każdego podmiotu i każdej branży.

Jak zatem rozumieć zapisy dyrektywy NIS2 w tym kontekście? Należy przyjąć, że nakłada ona obowiązek:

stworzenia formalnej polityki bezpieczeństwa łańcucha dostaw w zgodzie ze standardami branżowymi i dobrymi praktykami;
przeprowadzenia oceny ryzyka systemów własnych oraz systemów u krytycznych dostawców;
kontrolę dostawców przez odpowiednią konstrukcję umów, w których zapiszemy wymagania wobec dostawcy w kontekście cyberbezpieczeństwa;
monitorowanie łańcucha dostaw pod kątem cyberbezpieczeństwa udokumentowane np. wymianą wiadomości;
regularne szkolenia dla zarządu i pracowników;
wprowadzenie zasad audytów i raportowania.

Wiele niewiadomych

I tu dochodzimy do sedna problemy kontrolowania łańcucha dostaw – czyli systemów cyberbezpieczeństwa partnerów biznesowych. Ze względu na to, że poddostawcami są z reguły mniejsze firmy, o skromniejszych zasobach, będą one prawdopodobnie chętniej wybieranymi obiektami ataku przez cyberprzestępców. Łańcuch dostaw jest zatem pierwszą linią obrony, a zarazem najsłabszym ogniwem w systemie zabezpieczeń naszej firmy.

Na to nakłada się problem z widocznością infrastruktury IT u dostawców. O ile własna infrastruktura i procedury bezpieczeństwa są „przejrzyste”, o tyle przyjęte przez dostawców rozwiązania mogą być dla nas niewidoczne. Nie będziemy mieli dostępu do informacji, w jaki sposób partnerzy firmy podchodzą do procedur cyberbezpieczeństwa ani w jaki sposób je egzekwują. Co więcej – nie będziemy wiedzieć, czy i jak te procedury działają u dostawców naszych dostawców. Może to dotyczyć nie tylko samych procedur bezpieczeństwa IT (takich jak weryfikacja tożsamości czy szyfrowanie danych), ale też np. zasad wykorzystania danych (naszych danych!) wprowadzanych do systemów AI.

Ale to nie koniec problemów. Wiele organizacji (dotyczy to zwłaszcza dużych firm produkcyjnych będących spółkami córkami międzynarodowych korporacji) jest uzależnionych od rozwiązań przyjętych przez zagraniczną centralę. W tym przypadku wyegzekwowanie pożądanych przez naszą firmę rozwiązań może być niezwykle trudne.

Świadomość wyzwań cyberbezpieczeństwa rośnie

Ale są też dobre wiadomości. Wdrożenie przepisów unijnych regulujących kwestie cyberbezpieczeństwa, ciągłości biznesowej, wykorzystania AI, czy sprzętu od dostawców wysokiego ryzyka znacząco zwiększa świadomość polskich menedżerów odpowiedzialnych za infrastrukturę IT. Jak wynika z danych T-Mobile, klienci wcześniej nie dysponowali doświadczeniami pozwalającymi przeliczyć inwestycje w cyberbezpieczeństwo na zysk – a zatem traktowali nakłady na ochronę IT jako koszt. Ostatnie lata przyniosły jednak zmianę w podejściu do ochrony infrastruktury IT własnej oraz kluczowych partnerów.

Co więcej, obecnie sami klienci odchodzą od dyskusji o poszczególnych elementach systemu obrony w kierunku holistycznych rozwiązań minimalizujących ryzyka dla środowiska IT oraz systemów produkcyjnych. To znacząco ułatwia wprowadzanie zasad przewidzianych przez NIS2 w kontekście bezpieczeństwa łańcucha dostaw. Klienci takich dostawców usług jak T-Mobile coraz częściej wymagają certyfikatów oraz udokumentowanych wdrożeń. Rozumieją również, że punktem wyjścia dla rozmowy o cyberbezpieczeństwie jest przeprowadzenie audytu oraz określenie priorytetów – co jest elementem implementacji polityki cyberbezpieczeństwa.

Najważniejsze wnioski

Dyrektywa NIS2 będzie wymuszać dostosowanie firm do nowych wymogów dotyczących cyberbezpieczeństwa. Duże firmy będą preferować partnerów, którzy robią więcej dla cyberbezpieczeństwa, a z rezerwą traktować firmy stosujące się tylko do niezbędnego minimum wymaganego regulacjami. Ten wzrost wymagań będzie przyczyniać się do ogólnego podniesienia poziomu bezpieczeństwa IT.

O tym jak, zidentyfikować partnerów gwarantujących wysoki poziom cyberbezpieczeństwa czytaj w drugiej części naszego cyklu o bezpieczeństwie łańcucha dostaw.

[To pierwszy materiał z cyklu bezpieczeństwo łańcucha dostaw. Zajmiemy się w nim zapisami dyrektywy NIS2 i ogólnymi zasadami przygotowania się do wdrożenia odpowiednich procedur cyberbezpieczeństwa. W części drugiej opiszemy jak w praktyce oceniać dostawców, jak sprawdzić, czy konkretny dostawca jest godny zaufania oraz jakie rozwiązania technologiczne świadczą o tym, że nasz partner traktuje cyberbezpieczeństwo poważnie.]

Artykuł powstał przy współpracy merytorycznej z:

Miłosz Jankowski, Leader Business Development Account Cybersecurity Product,
T-Mobile Polska Business Solutions sp. z o.o.

Patryk Harazim, Patryk Harazim, Head of Sales Unit Industry&Technology Sector,

T-Mobile Polska Business Solutions sp. z o.o.

[i] https://ntsc.org/wp-content/uploads/2025/03/The-2025-Software-Supply-Chain-Security-Report-RL-compressed.pdf

[ii] https://eur-lex.europa.eu/eli/dir/2022/2555

[iii] https://www.ey.com/pl_pl/insights/law/nis2-bezpieczenstwo-lancucha-dostaw