Transformarea digitală aduce beneficii clare pentru companii: lansări mai rapide de produse, inovație accelerată și flexibilitate sporită. De cele mai multe ori, în centrul acestei transformări stă integrarea aplicațiilor și serviciilor terțe. Dar această interconectare vine cu un paradox periculos – fiecare nouă integrare devine o potențială poartă de intrare pentru atacatori.
Presiunea de a inova este uriașă. Conform celui mai recent sondaj PwC CEO Survey România 2025, 40% dintre directorii generali consideră că firmele lor nu vor mai fi viabile în 10 ani dacă nu își reinventează modelul de business. Această reinventare se bazează pe tehnologii precum AI și cloud, care însă extind dramatic suprafața de atac.
Majoritatea companiilor conștientizează aceste riscuri: 74% dintre organizații au ca prioritate reducerea riscurilor cibernetice, iar 48% consideră breșele terților drept amenințarea principală, potrivit aceluiași raport. Totuși, doar 2% au implementat măsuri complete de reziliență cibernetică. Această diferență dintre conștientizare și capacitatea efectivă de a acționa explică de ce incidentele legate de terți au impact disproporționat.
Raportul ENISA Threat Landscape 2025 arată că atacurile care vizează lanțul de aprovizionare digital reprezintă doar aproximativ 10,6% din totalul incidentelor analizate, însă impactul lor este disproporționat. Aceste atacuri sunt printre cele mai periculoase deoarece pot propaga compromiterea în cascadă către zeci sau sute de organizații simultan, afectând infrastructuri critice, lanțuri logistice și ecosisteme software interdependente.
Spre deosebire de atacurile clasice, cele asupra lanțului de aprovizionare nu vizează direct ținta finală, ci exploatează punctele de încredere din ecosistem – cum ar fi furnizori de software, librarii open-source, servicii cloud sau integratori. ENISA subliniază că vectorii de atac s-au sofisticat: de la compromiterea conturilor de mentenanță ale dezvoltatorilor open-source, până la injectarea de cod malițios în procesele CI/CD sau în actualizările automate ale aplicațiilor comerciale.
Mai mult, efectul de multiplicare este amplificat de interdependențele digitale: un singur furnizor compromis poate afecta simultan clienți din sectoare diferite, de la financiar și sănătate, până la retail și energie. ENISA avertizează că aceste atacuri rareori se opresc la primul val – ele generează reacții în lanț, forțând organizațiile să reia cicluri de analiză, izolare și remediere de fiecare dată când apare o nouă componentă compromisă.
Anatomia unui atac modern
Atacatorii, adesea actori statali sau grupări organizate, exploatează exact relațiile de încredere dintre companii și furnizorii lor de tehnologie. Conform ENISA, tehnicile lor sunt subtile, persistente și extrem de eficiente. Printre cele mai frecvente metode se numără:
- Introducerea de cod malițios (backdoors) în librării open-source utilizate pe scară largă, care ajung să fie incluse în produse comerciale fără o verificare riguroasă;
- Manipularea actualizărilor oficiale ale unor aplicații legitime (ex: compromise în pipeline-urile CI/CD), pentru a distribui malware prin canale de încredere;
- Exploatarea configurărilor greșite în medii cloud standardizate, unde lipsa segmentării rețelei sau a politicilor de acces granulare permite escaladarea rapidă a privilegiilor;
- Compromiterea conturilor de dezvoltatori sau a certificatelor de semnare digitală, pentru a crea aparența de legitimitate în livrarea codului malițios.
În toate aceste scenarii, atacul se propagă prin canale legitime, ocolind controalele de securitate tradiționale precum firewall-uri, antivirus sau DLP. Acest lucru face ca detecția să fie întârziată, iar timpul de reacție – critic.
De la risc la reziliență: un plan de acțiune
În acest context, securizarea lanțului de aprovizionare digital devine mai mult un test de guvernanță decât o problemă tehnică, necesitând o abordare proactivă care să acopere întregul ciclu de viață al colaborării cu terți.
Acțiunile esențiale includ:
- Vizibilitate și monitorizare: Supravegherea continuă a tuturor dependențelor software și a integrărilor cu terți pentru a detecta rapid orice modificare suspectă. Soluțiile de tip SBOM (Software Bill of Materials) devin esențiale pentru trasabilitate și control.
- Politici stricte pentru furnizori: Stabilirea unor cerințe minime de securitate, evaluări periodice și clauze contractuale clare privind responsabilitatea în caz de incident. Este esențială clasificarea furnizorilor în funcție de riscul asociat și aplicarea unor controale diferențiate.
- Audit sistematic: Verificarea regulată a codului open-source și a componentelor AI integrate în produse pentru a descoperi vulnerabilități ascunse. Utilizarea unor instrumente automate de analiză statică și dinamică a codului poate reduce semnificativ riscurile.
- Planificare și exerciții: Dezvoltarea unor planuri de răspuns la incidente care includ scenarii specifice de compromitere a lanțului de aprovizionare și exersarea lor periodică alături de parteneri. Testarea capacității de izolare și remediere este critică.
- Guvernanță clară: Implementarea unei strategii de reziliență cibernetică end-to-end, de la dezvoltare la operare, cu responsabilități bine definite. Este recomandată desemnarea unui Third Party Risk Officer sau a unei echipe dedicate pentru gestionarea riscurilor asociate furnizorilor.
Reglementări cu impact: DORA, NIS2 și complexitatea lanțurilor digitale
În paralel cu creșterea riscurilor cibernetice, companiile se confruntă cu o presiune tot mai mare din partea reglementatorilor europeni. Regulamentul DORA (Digital Operational Resilience Act) și Directiva NIS2 impun cerințe stricte privind securitatea lanțului de aprovizionare digitală, transformând conformitatea dintr-o opțiune într-o obligație legală.
DORA, aplicabil începând cu 17 ianuarie 2025, vizează în mod direct sectorul financiar și furnizorii săi critici de servicii TIC. Acesta impune:
- Clasificarea furnizorilor terți în funcție de riscul asociat și importanța serviciilor oferite;
- Evaluări de risc detaliate, inclusiv asupra capacității furnizorilor de a gestiona incidente cibernetice;
- Auditurile periodice și inspecțiile la fața locului;
- Obligația de testare a rezilienței operaționale, inclusiv prin simulări și teste de penetrare (TLPT).
Pe de altă parte, NIS2 extinde cerințele de securitate cibernetică la un spectru larg de sectoare esențiale și importante – de la energie și sănătate, până la infrastructură digitală, transport și industrie alimentară. Printre obligațiile cheie se numără:
- Evaluarea securității lanțului de aprovizionare, inclusiv a relațiilor cu furnizorii direcți și subcontractanți;
- Raportarea incidentelor cu impact semnificativ în termen de 24 de ore;
- Implementarea de politici de guvernanță și control asupra furnizorilor externi;
Un aspect critic introdus de ambele reglementări este externalizarea în lanț. În practică, multe organizații colaborează cu furnizori care, la rândul lor, subcontractează servicii către alți terți (niveluri 2, 3 sau chiar 4). Această complexitate a ecosistemului digital face dificilă trasabilitatea riscurilor și impune o vizibilitate extinsă asupra întregului lanț de furnizori.
DORA cere instituțiilor financiare să mențină controlul asupra riscurilor chiar și atunci când serviciile sunt externalizate, iar NIS2 obligă entitățile să demonstreze că au evaluat și monitorizat securitatea furnizorilor critici. În ambele cazuri, responsabilitatea finală rămâne la nivelul conducerii executive – CEO, board, directori de conformitate – care trebuie să poată demonstra că organizația are controale eficiente și testate.
Într-o lume interconectată, riscurile provenite de la parteneri nu pot fi eliminate, dar pot fi gestionate. Acțiunea proactivă – bazată pe vizibilitate, politici ferme și capacitate de răspuns rapid – este singura cale pentru a limita riscurile invizibile din ecosistemele digitale moderne, permițând companiilor să inoveze în siguranță.
