Chcesz być cyberbezpieczny – sprawdź swoich dostawców! Już ponad 1/4 ataków zaczyna się poza firmą wynika z ostatnich analiz zespołu badawczego Palo Alto Networks

Łańcuch dostaw to dziś najłatwiejszy i najmniej zauważalny punkt wejścia dla cyberprzestępców. Jak wynika z ostatnich analiz zespołu badawczego Palo Alto Networks, 28% incydentów bezpieczeństwa w Europie dotyczyło zewnętrznych partnerów firm. To oznacza, że prawdopodobieństwo takiego ataku jest dziś porównywalne z innymi metodami, które dotąd dominowały w raportach.

Jednocześnie eksperci podkreślają, że większość takich incydentów pozostaje niezauważona – albo zostaje błędnie przypisana bezpośredniemu celowi ataku. W rzeczywistości więc skala zagrożenia jest jeszcze większa, niż pokazują statystyki.

– Cyberprzestępcy coraz częściej celują nie w główną organizację, ale w jej cyfrowe zaplecze – zewnętrznych dostawców, usługodawców technologicznych czy partnerów operacyjnych. Tam znajdują słabe ogniwa, mniej chronione, ale z pełnym dostępem. I właśnie dlatego firmy muszą przestać patrzeć na bezpieczeństwo wyłącznie przez pryzmat własnej infrastruktury. Realne zagrożenie często znajduje się poza ich bezpośrednim nadzorem, ale nadal w ramach ich cyfrowych powiązań – mówi Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający Palo Alto Networks w Europie Środkowo-Wschodniej.

Na świecie liczba ataków na łańcuch dostaw wzrosła o 100%

Zespół badawczy Palo Alto Networks, Unit 42, podaje, że w 2024 roku 28% incydentów w Europie dotyczyło naruszeń związanych ze stronami trzecimi – partnerami, dostawcami, podwykonawcami. Raport Verizon „2025 Data Breach Investigation” wskazuje na podobny odsetek w ujęciu globalnym – 30%. W porównaniu rok do roku oznacza to dwukrotny wzrost incydentów z udziałem łańcucha dostaw.

Z analiz zespołu Unit 42 wynika, że najbardziej narażone na takie ataki są firmy technologiczne i finansowe.

– W przypadku tego rodzaju incydentów cyberprzestępcy koncentrują się na dostawcach o bogatych zasobach danych i rozbudowanej sieci połączeń. Dane Palo Alto Networks wskazują, że głównym celem są firmy fintechowe, kancelarie prawne czy marki luksusowe. To właśnie przez takie organizacje można uzyskać dostęp do szerokiej grupy użytkowników i klientów, w tym takich o wysokiej wartości netto – wyjaśnia Wojciech Gołębiowski.

W Polsce z roku na rok gwałtownie rośnie skala cyberataków. Z danych CERT Polska wynika, że we wrześniu 2025 roku odnotowano aż 278% więcej zgłoszeń niż rok wcześniej. Nie wszystkie są związane z łańcuchem dostaw, ale eksperci zaznaczają, że to właśnie w obszarze zależności zewnętrznych coraz trudniej kontrolować ryzyko.

– W Polsce firmy często budują swoje strategie bezpieczeństwa w izolacji, nie biorąc pod uwagę, jak wiele zależy od ich partnerów. Tymczasem nawet niewielka firma outsourcingowa, która zyskała dostęp administracyjny do systemu klienta, może stać się idealnym celem ataku. Zdarza się, że podwykonawcy mają więcej uprawnień niż pracownicy firmy, a przy tym znacznie mniejsze możliwości obrony – komentuje Grzegorz Latosiński, dyrektor sprzedaży Palo Alto Networks w Europie Środkowo-Wschodniej.

Nie trzeba włamywać się przez drzwi, skoro okno jest otwarte

Z punktu widzenia cyberprzestępcy atak przez łańcuch dostaw jest idealny – tańszy i szybszy do zrealizowania oraz trudniejszy do wykrycia. Wystarczy znaleźć jednego partnera, który nie spełnia podstawowych norm cyberbezpieczeństwa, a ma połączenie z siecią głównej firmy.

Jak może wyglądać taki atak w praktyce? W ostatnich miesiącach zespół Unit 42 opublikował analizę działalności grupy Muddled Libra, która zaatakowała m.in. firmę outsourcingową, świadczącą usługi dla sektora finansowego i farmaceutycznego. Cyberprzestępcy podszyli się pod pracowników helpdesku, przejęli dane logowania, a następnie zdobyli dostęp do kont z uprawnieniami administratora – a całość zajęła im mniej niż 40 minut. W ciągu 2 dni wyprowadzili ponad 100 GB danych, nie wzbudzając żadnych alarmów.

– Ten przykład pokazuje, jak szybkie i skuteczne mogą być ataki prowadzone przez łańcuch dostaw, dzięki wykorzystaniu zaufania systemów do znanych podmiotów. Partnerzy mają dostęp przez API czy VPN, a niekiedy nawet klucze dostępu – i nikt tego nie kwestionuje. Gdy jedno z tych kont zostanie przejęte, atakujący działa jak osoba z wewnątrz. A przecież wielu firmom nadal brakuje świadomości skali zależności cyfrowych. Organizacje powinny zadać sobie pytanie – ilu partnerów ma dostęp do moich systemów? Ilu z nich korzysta z tych samych poświadczeń od lat? Ilu posiada prawa administratora? – podkreśla Tomasz Pietrzyk, starszy manager ds. rozwiązań technologicznych Palo Alto Networks w Europie Środkowo-Wschodniej.

Realna odporność wymaga dziś zmiany myślenia. Firmy nie powinny zastanawiać się, czy atak się wydarzy, ale gdzie się zacznie i kto zostanie przez niego dotknięty. Najbardziej narażeni są ci, których nikt nie pyta o procedury bezpieczeństwa, czyli mniejsi partnerzy, techniczni dostawcy i firmy usługowe.

– Postawa cyberaltruizmu nie jest kwestią dobrej woli, a strategią biznesową. Jeśli dostawca padnie ofiarą ataku, jego problemy błyskawicznie staną się twoimi. Pomagając mu się zabezpieczyć, firmy inwestują we własną stabilność cyfrową. Mniejsze przedsiębiorstwa nie zawsze mają środki czy wiedzę, ale mogą skorzystać z narzędzi, szkoleń i praktyk oferowanych przez większych partnerów – dodaje Grzegorz Latosiński.