K útoku na dodavatelský řetězec dochází tehdy, když zločinci kompromitují důvěryhodnou třetí stranu, aby se dostali ke skutečnému cíli. Touto třetí stranou může být dodavatel softwaru, poskytovatel IT služeb, platforma SaaS nebo obchodní partner s přístupem k systémům nebo datům.
Pro malé a střední podniky je snadné toto riziko podcenit. Možná neprovozujete složitou infrastrukturu ani nemáte velký IT tým, ale vaše společnost pravděpodobně závisí na mnoha externích službách: firemním e-mailu, mzdovém systému, účetnictví, cloudovém úložišti, zákaznické podpoře, CRM a platebních systémech. Každý připojený dodavatel představuje potenciální cestu do vašeho prostředí.
Vysvětlíme vám, co je to útok na dodavatelský řetězec, jak k těmto útokům dochází, proč jsou malé a střední podniky zranitelné a jak vyhodnotit a snížit riziko spojené s dodavatelským řetězcem třetích stran.
Co je to útok na dodavatelský řetězec?
Jak k útokům na dodavatelský řetězec dochází
Proč jsou malé a střední podniky pro útočníky atraktivnější
Příklady útoků na dodavatelský řetězec z reálného světa
Jak vyhodnotit riziko spojené s třetími stranami
Co může vaše firma udělat pro snížení míry ohrožení
Souvislost s přihlašovacími údaji při útocích na dodavatelský řetězec
Zabudování bezpečnosti třetích stran do každodenního provozu
Co je útok na dodavatelský řetězec?
Útok na dodavatelský řetězec je kybernetický útok, který se do organizace dostane prostřednictvím důvěryhodného externího vztahu. Namísto přímého útoku na vaši firmu zločinci kompromitují dodavatele, aktualizaci softwaru, poskytovatele služeb, integraci nebo účet třetí strany a tento přístup využijí k tomu, aby se dostali k vašim koncovým zákazníkům.
Slabina mimo vaši organizaci může stále ovlivnit vaše systémy, data nebo provoz, pokud je k nim dodavatel připojen. V praxi může kybernetický útok na dodavatelský řetězec zahrnovat:
- Dodavatele softwaru s kompromitovaným mechanismem aktualizací.
- Platformu SaaS, přes kterou útočníci přistupují k zákaznickým datům.
- Poskytovatele IT služeb, jehož přihlašovací údaje správce byly odcizeny.
- Účet dodavatele, který má i po skončení projektu stále přístup.
- Integraci třetí strany s větším rozsahem oprávnění, než je nutné.
- Zaměstnanecký účet dodavatele použitý k přístupu do systémů klienta.
Útoky na dodavatelský řetězec spoléhají na důvěru a zneužívají ji. Vaše firma připojení povoluje, protože dodavatel měl legitimní roli, a útočníci pak této důvěry zneužijí, aby se dostali blíže k vašim datům, účtům nebo systémům.
Jak k útokům na dodavatelský řetězec dochází
Útoky na dodavatelský řetězec obvykle začínají důvěryhodným připojením. Útočník se nemusí vloupat přímo do vaší firmy, pokud má dodavatel, poskytovatel softwaru, dodavatel nebo integrace již přístup k něčemu cennému.
Cesta se může lišit, ale vzorec je často podobný:
- Kompromitace třetí strany
- Využití tohoto důvěryhodného vztahu k dosažení zákazníků nebo připojených systémů
- Rozšíření přístupu do vaší firemní sítě
Prostřednictvím kompromitovaných účtů dodavatelů
Útočníci mohou ukrást nebo uhodnout přihlašovací údaje dodavatele, zhotovitele, agentury nebo poskytovatele spravovaných služeb. Pokud má tato třetí strana přístup k vašim systémům, útočník může použít legitimní účet a proniknout dovnitř důvěryhodnou cestou.
To je obzvláště rizikové, pokud mají účty dodavatelů široká oprávnění, slabá hesla, nemají nastavené vícefaktorové ověření nebo pokud jim přístup nebyl po skončení projektu odebrán. Proto by měl být přístup třetích stran pravidelně kontrolován a v případě, že již není potřeba, neprodleně odvolán prostřednictvím řízeného procesu správce.
Prostřednictvím aktualizací softwaru a aplikací
K útoku na softwarový dodavatelský řetězec může dojít, když útočníci kompromitují způsob, jakým je aplikace vytvořena, distribuována nebo aktualizována. Vaše firma pak může nainstalovat nebo aktualizovat software od důvěryhodného dodavatele, aniž by si uvědomila, že s aktualizací bylo neoprávněně manipulováno.
Tento typ útoku je obtížné odhalit, protože aktivita se zdá pocházet od známého poskytovatele softwaru, nikoli z neznámého zdroje.
Prostřednictvím integrací třetích stran
Mnoho nástrojů typu software jako služba (SaaS) se navzájem propojuje prostřednictvím integrací, pluginů, API a oprávnění. Tato připojení pomáhají týmům pracovat rychleji, ale mohou také vytvářet skryté přístupové cesty.
Pokud je integrace kompromitována nebo má větší oprávnění, než potřebuje, útočníci mohou získat přístup k datům, účtům nebo pracovním postupům i mimo původní nástroj.
Prostřednictvím sdílených přihlašovacích údajů a nespravovaného přístupu
Riziko spojené s dodavatelským řetězcem roste také tehdy, když přístup dodavatele závisí na sdílených přihlašovacích údajích, heslech uložených v dokumentech nebo přihlašovacích údajích zasílaných prostřednictvím chatu a e-mailu. Pokud dojde k vyzrazení některého z těchto přihlašovacích údajů, vaše firma nemusí zjistit, kdo jej použil, kde byl sdílen nebo k kolika systémům má stále přístup.
Řízení přístupu je vaším nejsilnějším nástrojem k ochraně bezpečnosti vašeho dodavatelského řetězce. Čím více je každé připojení dodavatele kontrolováno, tím snazší je omezit škody, pokud se něco pokazí.
Proč jsou malé a střední podniky zranitelnější
Malé a střední podniky se často domnívají, že útoky na dodavatelský řetězec jsou problémem velkých korporací. Ve skutečnosti může být pro útočníky snazší proniknout do menších podniků přes třetí strany, protože přístup dodavatelů bývá méně formální, méně sledovaný a méně často kontrolovaný.
Každá služba SaaS zvyšuje závislost
Většina malých podniků dnes při své každodenní práci závisí na službách SaaS. Ty sice pomáhají firmám fungovat rychle a flexibilně, ale zároveň rozšiřují počet systémů, které mohou uchovávat firemní data nebo se připojovat k firemním účtům.
Malá agentura, poradenská společnost, právní kancelář nebo start-up mohou využívat desítky externích služeb, aniž by tomu říkaly dodavatelský řetězec. Z hlediska bezpečnosti jsou však tyto služby jeho součástí.
Menším týmům mohou chybět procesy kontroly dodavatelů
Velké organizace mají často k dispozici nákupní oddělení, dotazníky k hodnocení rizik dodavatelů, bezpečnostní prověrky a právní procesy. Malé a střední podniky se namísto toho mohou spoléhat na neformální důvěru a rychlost.
Od začátku roku 2025 odhalila služba Data Breach Observatory od Protonu 512 úniků informací, které odhalily více než 902 milionů záznamů. Tento druh viditelnosti je důležitý, protože mnoho úniků nezůstane izolováno v jedné společnosti, jakmile dojde k vyzrazení přihlašovacích údajů, kontaktních údajů nebo firemních dat.
To neznamená, že malé podniky potřebují korporátní byrokracii. Znamená to však, že potřebují praktický způsob, jak si položit základní otázky před udělením přístupu a jak tento přístup přehodnotit, když se práce změní.
Přístup dodavatelů bývá často širší, než je nutné
Přístup dodavatelů se v rámci firmy obvykle rozšiřuje z praktických důvodů. Někdy externí dodavatel potřebuje přístup ke sdílenému disku nebo agentura potřebuje přístup k analytice či reklamnímu účtu. V danou chvíli se udělení přístupu zdá být nejrychlejším způsobem, jak udržet práci v chodu, zejména pro malou firmu bez velkého množství lidí nebo prostředků.
Riziko se objevuje až později, když tato oprávnění nejsou omezena, zkontrolována nebo odebrána. Dodavatel si může zachovat přístup i po skončení projektu, sdílené přihlášení může dále kolovat nebo integrace může zůstat připojená dlouho poté, co původní potřeba pominula.
Reálné příklady útoků na dodavatelský řetězec
Nedávná data o únicích informací ukazují, že riziko spojené s třetími stranami není pouze teoretické. Během výzkumu pro náš Data Breach Observatory jsme odhalili několik incidentů spojených s vystavením ze strany třetích stran nebo dodavatelského řetězce. Ty ukazují, jak se data zákazníků, zaměstnanců nebo obchodní data mohou objevit v datových sadách úniků, i když dotčená organizace nemusela být původním místem kompromitace.
Amtrak
V dubnu 2026 odhalil projekt Data Breach Observatory incident třetí strany spojený se společností Amtrak, při kterém bylo vystaveno více než 7,4 milionu záznamů. Kompromitovaná data zahrnovala jména, fyzické adresy, poštovní směrovací čísla, telefonní čísla, e-mailové adresy a uživatelská jména.
Pro firmy je to jasný příklad toho, jak může incident na straně třetí strany ve velkém měřítku odhalit identitu a kontaktní údaje, což vytváří následná rizika v podobě phishingu, vydávání se za jinou osobu a útoků zneužívajících přihlašovací údaje.
Canada Goose
Oblečení vyrábějící společnost Canada Goose byla v únoru 2026 zasažena incidentem třetí strany, při kterém bylo vystaveno více než 921 000 záznamů. Kompromitovaná data zahrnovala jména, fyzické adresy, telefonní čísla a e-mailové adresy.
I bez hesel může tento druh datové sady zvýšit riziko pro firmu, protože útočníci mohou kontaktní údaje využít k tomu, aby podvody, pokusy o phishing a sociální inženýrství působily důvěryhodněji.
Jak vyhodnotit rizika spojená s třetími stranami
K zahájení vyhodnocování rizik vaší firmy nepotřebujete velký tým pro správu rizik ani spoustu prostředků. Začněte jednoduchým inventářem a zaměřte se na dodavatele, na kterých záleží nejvíce.
1. Mapujte své dodavatele a jejich přístup
Sestavte seznam dodavatelů, služeb SaaS, dodavatelů služeb a partnerů s přístupem k vašim systémům nebo datům. U každého z nich si poznamenejte:
- K jakým datům mohou přistupovat.
- Které účty nebo integrace používají.
- Zda mají oprávnění správce.
- Zda je přístup individuální, nebo sdílený.
- Zda je vyžadováno vícefaktorové ověření.
- Kdo je interně odpovědný za tento vztah.
- Kdy byl přístup naposledy kontrolován.
Tento inventář se udržuje mnohem snadněji, pokud je přístup dodavatelů spravován prostřednictvím kontrolovaného systému s jasným vlastnictvím, viditelností pro správce a možností přístup odebrat.
2. Seřaďte dodavatele podle rizikovosti
Ne každý dodavatel vyžaduje podrobnou kontrolu. Poskytovatel mzdového účetnictví, platforma cloudového úložiště, poskytovatel IT, CRM nebo poskytovatel spravovaných služeb si zaslouží větší pozornost než služba s nízkým rizikem, která nepracuje s citlivými daty.
Upřednostněte dodavatele, kteří nakládají s údaji zákazníků, přihlašovacími údaji, platbami, informacemi o zaměstnancích, produkčními systémy nebo přístupem správce.
3. Před udělením přístupu položte bezpečnostní otázky
Před udělením přístupu je užitečné ustoupit o krok zpět a posoudit, zda je třetí strana skutečně nezbytná, k jakým systémům nebo datům potřebuje přistupovat a zda je tato úroveň přístupu odůvodněná. V této fázi mnoho organizací zjistí, že spoléhá na více dodavatelů, integrací a externích účtů, než předpokládaly.
I zjednodušená kontrola dodavatele může být užitečná. Zeptejte se:
- Co se stane s našimi daty, pokud odejdeme?
- Podporujete 2FA?
- Jak chráníte data zákazníků?
- Nabízíte řízení přístupu na základě rolí?
- Umožňujete auditní logy nebo přehledy aktivit?
- Vlastníte nějaké příslušné bezpečnostní certifikace nebo dodržujete uznávané bezpečnostní standardy?
- Jak informujete zákazníky o incidentech?
- Jak interně spravujete přístup zaměstnanců?
- Podporujete přístup s nejnižšími možnými oprávněními?
Co může vaše firma udělat pro snížení rizika vystavení
Snížení rizika v dodavatelském řetězci začíná u kontroly. V praxi to znamená, že vaše firma potřebuje jasná pravidla pro to, jak jsou dodavatelé prověřováni, k čemu mohou přistupovat, jak je sledována jejich aktivita a co se stane, pokud dojde ke kompromitaci třetí strany.
Prověřujte bezpečnostní postupy dodavatelů z řad třetích stran
Před udělením přístupu dodavateli k podnikovým systémům nebo citlivým datům zkontrolujte, zda jeho bezpečnostní postupy odpovídají danému riziku. Dodavatel, který nakládá se zákaznickými záznamy, finančními údaji nebo má přístup správce, by měl splňovat vyšší nároky než základní produktivní aplikace.
Hledejte podporu 2FA, oprávnění na základě rolí, auditní logy, závazky k oznamování incidentů, řízení uchovávání dat a jasné procesy ukončení spolupráce.
Uplatňujte u přístupu třetích stran zásadu nejnižších možných oprávnění
Zásada nejnižších možných oprávnění snižuje rozsah škod v případě kompromitace účtu dodavatele. To znamená neudělovat oprávnění správce, pokud stačí přístup pouze pro čtení, nebo nesdílet rozsáhlé složky, když postačí jedna konkrétní složka.
U dodavatelů uplatňujte principy nulové důvěry (zero trust)
Nulová důvěra (zero trust) neznamená nedůvěřovat každému dodavateli. Znamená to nepředpokládat, že by důvěryhodný vztah měl automaticky vytvářet neomezený přístup.
U přístupu dodavatelů to znamená ověřování identity, omezování oprávnění, pravidelnou kontrolu přístupu, vyžadování 2FA, sledování aktivity a přistupování ke každému připojení jako k něčemu, co vyžaduje správu a kontrolu.
Sledujte neobvyklé vzorce přístupu
U účtů propojených s dodavateli by mělo být sledováno chování, které neodpovídá běžnému používání. Sledujte neobvyklá místa přihlášení, neočekávané stahování dat, nové správce, změny oprávnění, aktivitu mimo pracovní dobu, nové integrace nebo přístup k datům mimo roli daného dodavatele.
Tyto signály nemusí vždy prokazovat kompromitaci, ale mohou vašemu týmu pomoci reagovat dříve, než se z malého problému stane rozsáhlý únik informací.
Připravte se na kompromitaci třetí strany
Váš plán reakce na incidenty by měl zahrnovat incidenty týkající se dodavatelů. Pokud dodavatel nahlásí únik informací, vaše firma musí vědět, co dělat dál. Napsali jsme o ochraně před únikem informací pro firmy, což vám může pomoci strukturovat reakci vaší firmy na kompromitaci třetí strany.
Definujte, kdo bude kontaktovat dodavatele, kdo bude kontrolovat přístup, kdo bude kontrolovat logy, kdo rozhodne, zda by mělo dojít k obměně přihlašovacích údajů, a kdo bude v případě potřeby komunikovat s klienty nebo regulačními orgány.
Používejte jedinečné přihlašovací údaje pro každého dodavatele a nástroj třetí strany
Jedinečné přihlašovací údaje jsou jedním z nejjednodušších způsobů, jak omezit rozsah škod v dodavatelském řetězci. Pokud dojde k úniku informací z portálu dodavatele a zaměstnanec toto heslo použil i jinde, útočníci se mohou pokusit použít stejné přihlašovací údaje pro přístup k e-mailu, platformám SaaS, finančním nástrojům nebo systémům správce.
Jedinečné heslo pro každého dodavatele brání tomuto přímému opětovnému použití. Také to usnadňuje reakci na incidenty. Při kompromitaci dodavatele víte, kterým přihlašovacím údajům je třeba věnovat pozornost, namísto přemýšlení, kde všude mohlo být stejné heslo použito.
Proton Pass je firemní správce hesel, který vašemu týmu pomůže generovat silná, jedinečná hesla pro každého dodavatele a službu třetí strany, ukládat je v šifrovaných trezorech, používat automatické vyplňování a bezpečně sdílet přístup. Díky tomu je snazší udržovat hygienu přihlašovacích údajů napříč mnoha externími službami, na které se moderní firmy spoléhají.
Propojení přihlašovacích údajů v útocích na dodavatelský řetězec
Útoky na dodavatelský řetězec často začínají u dodavatelů, ale přihlašovací údaje určují, jak daleko se může dopad rozšířit.
Pokud je účet externího spolupracovníka kompromitován, ale má omezený přístup, škody mohou být minimalizovány. Pokud má stejný účet široká oprávnění, sdílené přihlašovací údaje, opakovaně používaná hesla nebo přístup k citlivým systémům, má útočník větší prostor k manévrování.
Proto správa hesel a přístupu patří do řízení rizik dodavatelského řetězce. U každého dodavatele nebo nástroje třetí strany by vaše firma měla vědět:
- Které přihlašovací údaje existují.
- Kdo k nim má přístup.
- Zda je heslo jedinečné.
- Zda je aktivováno MFA.
- Zda je přístup stále potřebný.
- Zda je účet sdílený, nebo individuální.
- Kdo je interním vlastníkem účtu.
Firemní správce hesel, jako je Proton Pass, pomáhá na tyto otázky snadněji odpovědět. Místo toho, aby přihlašovací údaje byly v tabulkách, profilech prohlížečů, zprávách chatu nebo osobních poznámkách, mohou být hesla dodavatelů uložena v kontrolovaném systému s bezpečným sdílením a jasnějším vlastnictvím.
To neodstraňuje potřebu prověřovat dodavatele nebo monitorovat aktivitu. Posiluje to však jedno z nejúčinnějších kontrolních opatření: zajištění toho, aby se únik informací u třetí strany nestal problémem s opakovaným používáním hesel ve vaší vlastní firmě.
Zabudujte bezpečnost třetích stran do každodenního provozu
Útok na dodavatelský řetězec mění důvěru ve vstupní cestu. Dodavatel, aktualizace softwaru, účet SaaS, externí spolupracovník nebo integrace, které obvykle podporují chod firmy, se mohou stát trasou, kterou útočníci použijí k přístupu k datům nebo systémům.
Malé firmy se nemohou vyhnout třetím stranám a ani to nepotřebují. Nástroje SaaS, poskytovatelé IT služeb, externí spolupracovníci a dodavatelé jsou součástí fungování moderních firem. Cílem je řídit tyto vztahy s dostatečnou kontrolou, aby se jedna kompromitace nestala rozsáhlejším únikem informací.
Začněte se základy: zmapujte své dodavatele, vyhodnoťte přístup, pokládejte bezpečnostní otázky, uplatňujte princip nejnižších oprávnění, používejte principy zero trust, monitorujte neobvyklou aktivitu a plánujte reakci na kompromitaci třetí strany. Poté snižte riziko spojené s přihlašovacími údaji tím, že každému dodavateli a službě třetí strany přidělíte vlastní jedinečné heslo.
Proton Pass pomáhá firmám uplatňovat tuto kontrolu v každodenní praxi. Pokud má každé přihlášení dodavatele své vlastní jedinečné přihlašovací údaje, sdílený přístup zůstává v šifrovaných trezorech a týmy mohou přístup odebrat v okamžiku, kdy vztah skončí, je mnohem méně pravděpodobné, že jediné uniklé heslo vyvolá řetězovou reakci napříč vašimi firemními účty.






