NIS 2

Управление на риска от трети страни: Защо доставчиците Ви могат да бъдат най-голямата киберзаплаха

5 ноември 2025 г. 10 мин. четене
Абстрактна визуализация на взаимосвързани мрежи от доставчици, представляваща риска от трети страни по веригата на доставки

Троянският кон, който вече е във вашата мрежа

Управлението на риска, свързан с трети страни, остава пренебрегвана опасност за повечето организации. Харчат се огромни средства за защитни стени и вътрешна отбрана, но най-сериозните заплахи идват от доставчиците, изпълнителите и партньорите, на които вече е бил даден достъп.

Тези доставчици не трябва да пробиват защитния периметър — вие вече сте им предоставили достъп. Днес вашата организация е вградена в сложна мрежа от отношения с трети страни и вашата сигурност е толкова силна, колкото е тяхната. Мрежовата ви граница вече не е само собствената ви инфраструктура — тя е комбинираната позиция на сигурност на цялата ви верига на доставките.

За нападателите това е добре известно. Много по-лесно е да се компрометира по-малък, по-слабо защитен партньор, отколкото да се атакува директно добре защитена цел. Атаката срещу SolarWinds демонстрира това в голям мащаб, но проблемът се задълбочава. Пробивите, свързани с доставчици, почти се удвоиха през 2025 г. и вече представляват 30% от всички инциденти. Предоставянето на достъп на доставчици без строг надзор е равносилно на връчване на ключ от входната врата.

Критичен въпрос: Ако най-важният Ви доставчик излезе от строя утре поради пробив в сигурността, ще продължи ли да функционира вашият бизнес?

Атаки по веригата на доставките през 2025 г. — Четири ключови урока

1. Jaguar Land Rover — Данни за достъп от доставчик, които сринаха производството

През 2025 г. JLR претърпя голяма кибератака, която принуди спиране на производството в нейните фабрики в Обединеното кралство и по света. Нападателите не са пробили JLR директно — те са използвали компрометирани данни за достъп от трета страна изпълнител: по-конкретно Jira и VPN достъп, който не е бил правилно премахнат при прекратяване на договора.

Веднъж вътре, те са се придвижили латерално от ИТ системите към оперативните технологии (ОТ) и производствените системи на JLR, спирайки производствените линии. Някои от компрометираните данни за достъп са датирали от 2021 г. и никога не са били деактивирани.

Критичните пропуски:

  • Остарели данни за достъп: Акаунти на доставчици от 2021 г. са останали активни и през 2025 г.
  • Липса на сегментация: ИТ и ОТ мрежите са били взаимосвързани, което е позволило латерално движение от точките за достъп на доставчиците към производствените системи.
  • Неадекватни прегледи на достъпа: Акаунтите на доставчиците не са били включени в редовните цикли за преглед.
  • Каскаден ефект: Спирането е засегнало хиляди доставчици от ниво 1 и ниво 2, причинявайки широко разпространени икономически щети.

Ключови действия: Одитирайте и незабавно отнемайте всички остарели права за достъп на доставчици. Прилагайте принципа на най-малките привилегии и времево ограничен достъп. Сегментирайте мрежите на доставчиците от производствените системи.

2. Air France–KLM — „Нискорисковият” доставчик, който отвори вратата

През юли 2025 г. Air France и KLM съобщиха за пробив на данни чрез платформа на трета страна — контактен център. Нападателите са получили достъп до имена на клиенти, данни за контакт и информация за членство в програми за лоялност.

Въпреки че данни от паспорти и платежни карти не са били компрометирани, откраднатата информация е предоставила всичко необходимо за стартиране на убедителни целенасочени фишинг кампании — имена, имейл адреси и статус на членство са създали перфектен профил за атаки чрез социално инженерство.

Ключов урок: Дори доставчици, които изглеждат некритични, могат да представляват сериозен риск. Всеки доставчик с достъп до клиенти — дори за данни с ниска чувствителност — създава репутационен риск и дава възможност за вторични атаки. Класификацията на риска не може да се основава единствено на чувствителността на данните.

3. Marks & Spencer — Инцидентът с IT поддръжката за 300 милиона паунда

През април 2025 г. M&S претърпя значителен киберинцидент, проследен до трета страна — доставчик на ИТ поддръжка. Пробивът наруши онлайн поръчките, безконтактните плащания и операциите по изпълнение на веригата на доставките, с очаквано въздействие върху печалбата от 300 милиона паунда.

Доставчиците на аутсорсвани ИТ услуги за поддръжка често притежават привилегировани данни за достъп до множество критични системи, за да изпълняват своите функции, което ги прави изключително привлекателни цели за нападатели, търсещи широк достъп.

Ключов урок: Външните доставчици често държат „ключовете към главния вход”. Наложете прегледи на привилегирован достъп, силна многофакторна автентикация (MFA) и договорна отговорност за всички трети страни с повишени права на достъп.

4. Доставчик на HR услуги на Volvo Group — Мултиплициращият ефект в действие

През август 2025 г. доставчик на HR услуги (Miljödata), обслужващ Volvo Group и приблизително 200 шведски общини, беше ударен от ransomware. Този единствен пробив изложи на риск приблизително 870 000 записа на служители в 25 частни компании и 200 общини едновременно.

Когато един доставчик обслужва стотици клиенти, компрометирането му се превръща в мощен мултипликатор за нападателите. Един успешен пробив се разпростира каскадно към стотици организации жертви.

Ключов урок: Рискът от концентрация на доставчици е реална заплаха. Организациите трябва да очертаят не само преките си (tier-1) доставчици, но и да разкрият зависимостите от ниво 2 и ниво 3, особено когато са замесени доставчици на споделени услуги.

Основни рискови фактори при лошо управление на риска от трети страни

Както показват тези случаи, рискът от доставчици не е просто проблем с „пробив на данни” — той е основен оперативен, финансов и регулаторен риск.

Непрекъсваемостта на дейността зависи от сигурността на доставчика. Ако критичен доставчик бъде компрометиран, неговото прекъсване се превръща във ваше прекъсване. Рискът от доставчици е оперативен риск — ако инфраструктурата на доставчика поддържа вашите операции, тяхното прекъсване означава ваше прекъсване. Това е пряко свързано с планирането на непрекъсваемостта на дейността (BCP/DR) и изискванията за устойчивост на веригата на доставките в рамки като ISO 27001, NIS 2 и DORA.

Достъпът на доставчиците е често привилегирован достъп. На доставчиците може да бъде даден достъп до администраторски акаунти, отдалечен достъп и API интеграции. Ако тези точки за достъп не се контролират стриктно, те се превръщат в силно привлекателни мишени. С обединяването на ИТ и ОТ средите, нарушенията от страна на доставчиците могат да преминат от „некритични” системи към производствени или контролни системи.

Регулаторни и финансови последици. Пробив при доставчик може да задейства вашите собствени задължения съгласно законите за защита на данните (GDPR) или законите за критичната инфраструктура (NIS 2). Последващите разходи включват дигитална криминалистика, възстановяване, съдебни спорове и санкции.

Числата не лъжат: Рискът по веригата на доставките нараства

Четирите случая по-горе не са изключения — те отразяват структурна промяна в начина, по който нападателите таргетират организации.

100%
Увеличение на атаките по веригата на доставките от април 2025 г. — средно 25 инцидента на месец спрямо 13 в началото на 2024 г. (Cyble)
30–35%
От всички пробиви на данни вече включват трета страна, спрямо 29% през 2023 г. (Verizon DBIR 2025)
$4,91 млн.
Средна цена на пробив по веригата на доставките — вторият най-скъп тип атака (IBM 2025)
45%
От организациите се очаква да претърпят пробив по веригата на доставките до края на 2025 г. — 3× повече спрямо 2021 г. (Gartner)

Налице е и сериозен пропуск в съответствието: 95% от организациите са забелязали тревожни сигнали, свързани с доставчици трети страни, но едва половината са ескалирали тези притеснения към екипите по съответствие.

Изграждане на устойчива TPRM програма

Ефективната рамка за управление на риска от трети страни съчетава управление, технически контроли и непрекъснато осигуряване на сигурност. Петте основни стълба са следните.

1. Избор на доставчик и надлежна проверка

Преди да включите нов доставчик, проведете оценка на сигурността, пропорционална на потенциалното въздействие. Прегледайте сертификатите (ISO 27001, SOC 2), оценете историята на инциденти и разгледайте собствените им зависимости от трети страни — включително риска от ниво 2 и ниво 3.

Класифицирайте доставчиците по критичност въз основа на достъп до данни, достъп до системи и въздействие върху бизнеса. Прилагайте пропорционална надлежна проверка за всяко ниво. Не приемайте, че доставчици с „ниска стойност” са нискорискови — оценете обхвата на необходимия им достъп.

2. Договорни контроли и споразумения за ниво на обслужване

Договорите с критични доставчици трябва да включват:

  • Минимални изисквания за сигурност — стандарти за криптиране, изисквания за MFA, честота на актуализации.
  • Права за одит — правото да проверявате контролите за сигурност и съответствието на доставчика.
  • Уведомяване за инциденти — задължителен срок за докладване при инциденти (24–72 часа е приетият стандарт).
  • Задължения за подизпълнители — доставчиците трябва да прехвърлят изискванията за сигурност към собствените си доставчици.
  • Право на прекратяване — клаузи за прекратяване на договора, задействани от пробив.
  • Изисквания за застраховка — подходящо покритие за кибер отговорност.

Споразуменията за ниво на обслужване трябва да дефинират изисквания за непрекъсната работа, цели за времето за възстановяване (RTO) и цели за точката на възстановяване (RPO) за критичните функции.

3. Контрол на достъпа и принцип на най-малките привилегии

Предоставяйте на доставчиците само минималния достъп, необходим за тяхната конкретна функция, и прилагайте времево ограничени акаунти с дефинирани дати на изтичане. Целият достъп на доставчиците трябва да изисква многофакторна автентикация и активността трябва непрекъснато да се регистрира и наблюдава.

Сегментирайте мрежите на доставчиците от производствените среди — инцидентът с JLR беше възможен именно поради липсата на тази граница. Провеждайте тримесечни прегледи на достъпа за високорискови доставчици и незабавно деактивирайте акаунтите при прекратяване на договор или смяна на персонала.

4. Непрекъснат мониторинг и преоценка

Управлението на риска от трети страни не е еднократна дейност. Проследявайте непрекъснато позицията на сигурност на доставчиците: наблюдавайте за оповестявания на пробиви, преглеждайте промените в подизпълнителите и използвайте платформи за разузнаване на заплахи, за да идентифицирате компрометирани данни за достъп, преди да бъдат използвани.

Провеждайте годишни цялостни прегледи за критични доставчици и тримесечни прегледи за високорискови такива. Където е уместно, възлагайте независими тестове за проникване или преглеждайте независими одитни доклади (SOC 2 Type II, декларации за обхват на ISO сертификация).

5. Реакция при инциденти и непрекъсваемост на дейността

Разработете специфични планове за реакция при инциденти с доставчици. Включвайте доставчиците в симулационни упражнения и тренировки, така че пътищата за ескалация и комуникационните протоколи да са тествани преди да бъдат необходими под натиск.

Очертайте критичните зависимости от доставчици като част от BCP и DR планирането. Идентифицирайте единичните точки на отказ, разработете алтернативни варианти за критичните функции и поддържайте офлайн резервни копия, които не зависят от наличността на доставчика.

Съответствие с регулаторните рамки

ISO 27001:2022

ISO/IEC 27001:2022 въведе специализирани контроли за сигурността на доставчиците в Приложение А:

  • A.5.19 — Сигурност на информацията в отношенията с доставчици
  • A.5.20 — Адресиране на сигурността на информацията в споразуменията с доставчици
  • A.5.21 — Управление на сигурността на информацията във веригата на доставки на ИКТ
  • A.8.30 — Изисквания за аутсорсвани функции, включително контроли и мониторинг

Директива NIS 2

Директивата NIS 2 прави сигурността на веригата на доставките формално задължение за съществени и важни субекти. Организациите в обхвата трябва да прилагат мерки за сигурност, които изрично адресират уязвимостите на веригата на доставките, да включват риска от трети страни в задължителните оценки на киберсигурността и да докладват инциденти, произхождащи от или засягащи веригата на доставките.

NIS 2 значително разширява обхвата на организациите, задължени да прилагат тези контроли, обхващайки критична инфраструктура, дигитални услуги, производство и много други сектори.

DORA

Законът за цифрова оперативна устойчивост (DORA) налага най-всеобхватните изисквания за ИКТ риска от трети страни, действащи в момента в световен мащаб. Финансовите субекти трябва да поддържат регистър на всички доставчици на ИКТ услуги трети страни, класифицирани по критичност, да спазват подробни договорни изисквания и да разработят изрични стратегии за прекратяване на отношенията с критични трети страни. Регулаторите ще наблюдават пряко критичните доставчици на ИКТ услуги.

Заключение: Рискът не може да бъде аутсорсван

Рискът, свързан с трети страни, вече не е периферен проблем — той е от централно значение за оперативното оцеляване на вашата организация. Казусите от 2025 г. са недвусмислени: едно единствено слабо звено във вашата верига на доставките може да доведе до опустошителни оперативни, финансови и репутационни щети.

Ефективното управление на риска от трети страни изисква повече от годишен въпросник и договорна клауза. То изисква рамка, диференцирана по риск, с непрекъснат мониторинг, приведена в съответствие с регулаторните рамки, в рамките на които оперира вашата организация. Организациите, които третират сигурността на доставчиците като непрекъсната оперативна дисциплина — а не като периодично упражнение за съответствие — са тези, които избягват да се превърнат в поредния казус.

ХЕИК ЕООД

Имате нужда от помощ с NIS 2?

Говорете с един от нашите експерти. Ще Ви дадем честна оценка на това, което е необходимо и как можем да помогнем.

Свържете се с експерт

Свържете се с експерт

Ще се свържем с Вас в рамките на един работен ден.

Уважаваме Вашата поверителност. Без нежелана поща.