Атака на цепочку поставок происходит, когда злоумышленники раскрывают доверенную стороннюю организацию, чтобы добраться до конечной цели. Этим сторонним лицом может быть поставщик программного обеспечения, ИТ-провайдер, SaaS-платформа или бизнес-партнер, получивший доступ к системам или данным.

Малому и среднему бизнесу легко недооценить этот риск. Возможно, вы не управляете сложной инфраструктурой и у вас нет большой ИТ-команды, но ваша компания, вероятно, зависит от множества внешних сервисов: электронной почты для бизнеса, расчета зарплаты, бухгалтерии, облачного хранилища, поддержки клиентов, CRM и платежных систем. Каждый подключенный поставщик создает потенциальный путь в вашу ИТ-среду.

Мы расскажем, что такое атака на цепочку поставок, как происходят такие атаки, почему малый и средний бизнес подвержен этой угрозе, а также как оценить и снизить риски, связанные со сторонними поставщиками.

Что такое атака на цепочку поставок?

Как происходят атаки на цепочки поставок

Почему малый и средний бизнес представляет большую ценность

Реальные примеры атак на цепочки поставок

Как оценить риски, связанные со сторонними организациями

Что ваш бизнес может сделать для снижения рисков

Связь учетных данных с атаками на цепочки поставок

Внедрение безопасности сторонних решений в повседневную работу

Что такое атака на цепочку поставок?

Атака на цепочку поставок — это кибератака, которая проникает в организацию через доверенные внешние связи. Вместо того чтобы атаковать ваш бизнес напрямую, злоумышленники раскрывают поставщика, обновление программного обеспечения, сервис-провайдера, интеграцию или сторонний аккаунт и используют эту возможность получить доступ, чтобы добраться до ваших конечных клиентов.

Уязвимость за пределами вашей организации все равно может повлиять на ваши системы, данные или рабочие процессы, если поставщик подключен к ним. На практике кибератака на цепочку поставок может включать:

  • Поставщика программного обеспечения с раскрытым механизмом обновления.
  • SaaS-платформу, через которую злоумышленники получают доступ к данным клиентов.
  • ИТ-провайдера, чьи учетные данные администратора были украдены.
  • Аккаунт подрядчика, у которого все еще есть возможность получить доступ после завершения проекта.
  • Интеграцию со сторонним решением, которая имеет больше разрешений, чем необходимо.
  • Аккаунт сотрудника поставщика, используемый для того, чтобы получить доступ к системам клиентов.

Атаки на цепочку поставок опираются на доверие и используют его в своих интересах. Ваш бизнес разрешает подключение, поскольку поставщик выполнял законную роль, а затем злоумышленники злоупотребляют этим доверием, чтобы подобраться ближе к вашим данным, аккаунтам или системам.

Как происходят атаки на цепочки поставок

Атаки на цепочку поставок обычно начинаются с доверенного подключения. Злоумышленнику не нужно проникать напрямую в вашу компанию, если поставщик, разработчик программного обеспечения, подрядчик или интеграция уже могут получить доступ к чему-то ценному.

Путь может быть разным, но схема часто одинакова:

  • Раскрыть стороннюю организацию
  • Использовать эти доверенные отношения, чтобы добраться до клиентов или подключенных систем
  • Расширить доступ к вашей бизнес-сети

Через раскрытые аккаунты поставщиков

Злоумышленники могут украсть или подобрать учетные данные поставщика, подрядчика, агентства или управляемого сервис-провайдера. Если эта сторонняя организация может получить доступ к вашим системам, злоумышленник может использовать легитимный аккаунт, чтобы войти через доверенный маршрут.

Это особенно рискованно, когда аккаунты поставщиков имеют широкие разрешения, слабые пароли, не используют многофакторную аутентификацию или когда возможность получить доступ так и не была удалена после завершения проекта. Вот почему возможность получить доступ для сторонних организаций необходимо регулярно проверять и своевременно отзывать через контролируемый процесс администратора, когда в ней больше нет необходимости.

Через обновления программного обеспечения и приложения

Атака на цепочку поставок программного обеспечения может произойти, когда злоумышленники раскрывают способ сборки, распространения или обновления приложения. После этого ваш бизнес может установить или обновить программное обеспечение от доверенного поставщика, даже не подозревая, что обновление было взломано.

Этот тип атак трудно обнаружить, поскольку действия исходят от известного поставщика программного обеспечения, а не из неизвестного источника.

Через интеграции со сторонними решениями

Многие инструменты класса «программное обеспечение как услуга» (SaaS) подключаются друг к другу через интеграции, плагины, API и разрешения. Эти подключения помогают командам работать быстрее, но они также могут создавать скрытые пути для получения доступа.

Если интеграция раскрына или имеет больше разрешений, чем необходимо, злоумышленники могут добраться до данных, аккаунтов или рабочих процессов за рамками исходного инструмента.

Через общие учетные данные и неуправляемый доступ

Риск цепочки поставок также возрастает, когда возможность получить доступ для поставщика зависит от общих имен пользователей, паролей, сохраненных в документах, или учетных данных, отправленных через чаты и электронную почту. Если какие-либо из этих учетных данных будут раскрыты, ваш бизнес может не узнать, кто их использовал, где ими поделились и к каким системам они все еще позволяют получить доступ.

Контроль доступа — это ваш сильнейший механизм защиты безопасности цепочки поставок. Чем строже контролируется каждое подключение поставщика, тем проще ограничить ущерб в случае возникновения проблем.

Почему малый и средний бизнес более уязвим

Малый и средний бизнес часто полагает, что атаки на цепочки поставок — это проблема только крупных предприятий. В действительности до небольших компаний бывает проще добраться через сторонние организации, поскольку возможность получить доступ для поставщиков часто предоставляется менее формально, хуже контролируется и реже проверяется.

Каждая служба SaaS добавляет зависимость

Большинство малых предприятий сегодня зависят от сервисов SaaS в своей повседневной работе. Они помогают компаниям действовать быстрее и гибче, но в то же время увеличивают число систем, которые могут хранить корпоративные данные или подключаться к бизнес-аккаунтам.

Небольшое агентство, консалтинговая компания, юридическая фирма или стартап могут использовать десятки внешних сервисов, не называя это цепочкой поставок. Но с точки зрения безопасности эти службы являются частью этой цепочки.

У небольших команд могут отсутствовать процессы проверки поставщиков

Крупные организации часто имеют отделы закупок, опросники рисков поставщиков, проверки безопасности и юридические процедуры. Малый и средний бизнес вместо этого может полагаться на неформальное доверие и скорость работы.

С начала 2025 года служба Proton Data Breach Observatory выявила 512 утечек, в результате которых было раскрыто более 902 миллионов записей. Подобная прозрачность важна, поскольку многие утечки не остаются изолированными в рамках одной компании после того, как раскрываются учетные данные, контактная информация или коммерческие данные.

Это не значит, что малому бизнесу нужна бюрократия уровня крупных предприятий. Это означает, что им нужен практичный способ задавать базовые вопросы перед тем, как предоставить доступ, и проверять этот доступ после изменения условий работы.

Доступ для поставщиков часто шире, чем необходимо

Доступ для поставщиков внутри бизнеса обычно расширяется по практическим соображениям. Иногда подрядчику требуется доступ к общему хранилищу, а агентству — доступ к аналитике или рекламному аккаунту. В данный момент предоставление доступа кажется самым быстрым способом продолжить работу, особенно для малого бизнеса, не располагающего большим штатом сотрудников или ресурсами.

Риск возникает позже, когда эти разрешения не ограничиваются, не проверяются или не удаляются. Поставщик может сохранять доступ после завершения проекта, общие учетные данные для входа могут продолжать использоваться, а интеграция может оставаться подключенной еще долго после того, как изначальная необходимость в ней отпала.

Реальные примеры атак на цепочку поставок

Последние данные об утечках показывают, что риски, связанные со сторонними поставщиками, не являются теоретическими. В ходе исследования для нашего проекта Data Breach Observatory мы выявили несколько инцидентов, связанных со сторонними организациями или цепочками поставок. Это демонстрирует, как данные клиентов, сотрудников или бизнеса могут оказаться в базах данных утечек, даже если пострадавшая организация не была первоисточником компрометации данных.

Amtrak

В апреле 2026 года в рамках проекта Data Breach Observatory был обнаружен инцидент со сторонней организацией, связанный с Amtrak, в результате которого было раскрыто более 7,4 миллиона записей. Скомпрометированные данные включали имена, физические адреса, почтовые индексы, номера телефонов, адреса электронной почты и имена пользователей.

Для бизнеса это наглядный пример того, как инцидент у стороннего поставщика может привести к масштабной утечке личных и контактных данных, создавая сопутствующие риски фишинга, выдачи себя за другое лицо и атак с использованием учетных данных.

Canada Goose

Производитель одежды Canada Goose пострадал от инцидента у стороннего поставщика в феврале 2026 года, в результате чего было раскрыто более 921 000 записей. Скомпрометированные данные включали имена, физические адреса, номера телефонов и адреса электронной почты.

Даже без паролей подобный набор данных может повысить риски для бизнеса, поскольку злоумышленники могут использовать контактную информацию, чтобы сделать мошенничество, попытки фишинга и методы социальной инженерии более убедительными.

Как оценить риски, связанные со сторонними поставщиками

Вам не нужна большая команда по управлению рисками или множество ресурсов, чтобы начать оценивать риски вашего бизнеса. Начните с простой инвентаризации и сосредоточьтесь на наиболее важных поставщиках.

1. Составьте карту поставщиков и их уровней доступа

Составьте список поставщиков, SaaS-сервисов, подрядчиков и партнеров, имеющих доступ к вашим системам или данным. Для каждого из них укажите:

  • К каким данным они могут получить доступ.
  • Какие аккаунты или интеграции они используют.
  • Есть ли у них права администратора.
  • Является ли доступ индивидуальным или совместным.
  • Требуется ли многофакторная аутентификация.
  • Кто отвечает за взаимодействие с ними внутри компании.
  • Когда в последний раз проверялись права доступа.

Такую инвентаризацию гораздо проще поддерживать, когда доступ поставщиков контролируется через систему с четким распределением ответственности, видимостью для администратора и возможностью отзыва прав доступа.

2. Классифицируйте поставщиков по уровню риска

Не каждый поставщик требует детальной проверки. Провайдеры расчета заработной платы, платформы облачного хранения данных, IT-провайдеры, CRM-системы или поставщики управляемых услуг заслуживают более тщательного анализа, чем сервисы с низким уровнем риска, не работающие с конфиденциальными данными.

Отдавайте приоритет поставщикам, которые обрабатывают данные клиентов, учетные данные, платежи, информацию о сотрудниках, имеют доступ к рабочим системам или обладают правами администратора.

3. Задавайте вопросы о безопасности перед предоставлением доступа

Перед предоставлением доступа полезно сделать шаг назад и оценить, действительно ли необходим сторонний поставщик, к каким системам или данным ему нужен доступ и оправдан ли этот уровень доступа. На этом этапе многие организации обнаруживают, что они зависят от большего числа поставщиков, интеграций и внешних аккаунтов, чем предполагалось.

Поверхностная проверка поставщика все равно может быть полезной. Спросите:

  • Что произойдет с нашими данными, если мы прекратим сотрудничество?
  • Поддерживаете ли вы двухфакторную аутентификацию?
  • Как вы защищаете данные клиентов?
  • Предлагаете ли вы управление доступом на основе ролей?
  • Предоставляете ли вы доступ к журналам аудита или отчетам об активности?
  • Есть ли у вас соответствующие сертификаты безопасности или соблюдаете ли вы признанные стандарты безопасности?
  • Как вы уведомляете клиентов об инцидентах?
  • Как вы управляете доступом сотрудников внутри компании?
  • Поддерживаете ли вы принцип наименьших привилегий при доступе?

Что ваш бизнес может сделать для снижения рисков

Снижение рисков в цепочке поставок начинается с контроля. На практике это означает, что вашему бизнесу нужны четкие правила проверки поставщиков, определения того, к чему они могут получить доступ, мониторинга их активности и действий в случае компрометации сторонней организации.

Проверяйте методы обеспечения безопасности сторонних поставщиков

Прежде чем предоставлять поставщику доступ к бизнес-системам или конфиденциальным данным, проверьте, соответствуют ли его методы обеспечения безопасности уровню риска. Поставщик, работающий с записями клиентов, финансовыми данными или обладающий правами администратора, должен соответствовать более высоким требованиям, чем простое приложение для продуктивности.

Обращайте внимание на поддержку двухфакторной аутентификации, разрешения на основе ролей, журналы аудита, обязательства по уведомлению об инцидентах, средства контроля хранения данных и четкие процессы прекращения сотрудничества.

Применяйте принцип наименьших привилегий к доступу сторонних организаций

Принцип наименьших привилегий снижает масштаб ущерба в случае компрометации аккаунта поставщика. Это означает, что не следует предоставлять права администратора, когда достаточно доступа только для чтения, или открывать доступ к общим папкам, когда достаточно одной конкретной папки.

Используйте принципы нулевого доверия (Zero Trust) для поставщиков

Нулевое доверие не означает недоверие к каждому поставщику. Это означает, что доверительные отношения не должны автоматически предоставлять неограниченный доступ.

Применительно к доступу поставщиков это означает проверку личности, ограничение прав, регулярный пересмотр доступа, требование двухфакторной аутентификации, мониторинг активности и отношение к каждому подключению как к объекту, требующему контроля.

Отслеживайте необычные схемы доступа

Связанные с поставщиками аккаунты необходимо контролировать на предмет поведения, которое не соответствует обычному использованию. Следите за необычными местами входа, неожиданными скачиваниями, появлением новых администраторов, изменениями прав доступа, активностью в нерабочее время, новыми интеграциями или доступом к данным, выходящим за рамки роли поставщика.

Эти сигналы не всегда доказывают компрометацию, но они могут помочь вашей команде отреагировать до того, как небольшая проблема перерастет в масштабную утечку.

Подготовьтесь к возможной компрометации сторонних поставщиков

Ваш план реагирования на инциденты должен включать инциденты со сторонними поставщиками. Если поставщик сообщает об утечке, ваш бизнес должен знать, что делать дальше. Мы уже писали о защите бизнеса от утечек данных, что может помочь вам спланировать действия в случае раскрытия данных сторонних организаций.

Определите, кто связывается с поставщиком, кто контролирует доступ, кто проверяет журналы, кто решает, нужно ли менять учетные данные, и кто при необходимости общается с клиентами или регулирующими органами.

Используйте уникальные учетные данные для каждого поставщика и стороннего инструмента

Уникальные учетные данные — один из самых простых способов ограничить масштаб ущерба при атаке на цепочку поставок. Если на портале поставщика произошла утечка данных, а сотрудник использовал тот же пароль на другом ресурсе, злоумышленники могут попытаться использовать эти учетные данные для доступа к электронной почте, платформам SaaS, финансовым инструментам или административным системам.

Уникальный пароль для каждого поставщика предотвращает его повторное использование. Это также упрощает реагирование на инциденты. Если данные поставщика раскрыты, вы точно знаете, какие учетные данные требуют внимания, и вам не придется гадать, где еще мог использоваться этот пароль.

Proton Pass — это менеджер паролей для бизнеса, который поможет вашей команде генерировать надежные уникальные пароли для каждого поставщика и стороннего сервиса, сохранять их в зашифрованных хранилищах, использовать автозаполнение и безопасно делиться доступом. Благодаря этому вашей компании будет проще поддерживать гигиену учетных данных во множестве внешних сервисов, которые она использует в работе.

Связь учетных данных с атаками на цепочку поставок

Атаки на цепочку поставок часто начинаются с поставщиков, но именно учетные данные определяют, насколько далеко могут распространиться последствия.

Если аккаунт подрядчика раскрыт, но имеет ограниченный доступ, ущерб можно локализовать. Но если у этого аккаунта широкие права, общие учетные данные, повторяющиеся пароли или доступ к конфиденциальным системам, у злоумышленника будет гораздо больше возможностей для маневра.

Вот почему управление паролями и доступом должно быть частью управления рисками в цепочке поставок. Для каждого поставщика или стороннего инструмента ваша компания должна знать:

  • Какие учетные данные существуют.
  • Кто имеет к ним доступ.
  • Является ли пароль уникальным.
  • Включена ли функция MFA.
  • Требуется ли все еще доступ.
  • Является ли аккаунт общим или индивидуальным.
  • Кто является владельцем аккаунта внутри компании.

С менеджером паролей для бизнеса, таким как Proton Pass, отвечать на эти вопросы станет гораздо проще. Вместо того чтобы хранить учетные данные в электронных таблицах, профилях браузеров, сообщениях в чатах или личных заметках, пароли поставщиков можно держать в контролируемой системе с безопасным обменом и четким распределением ответственности.

Это не избавляет от необходимости проверять поставщиков или контролировать их активность. Однако это усиливает одну из наиболее эффективных мер контроля: гарантирует, что утечка у стороннего поставщика не приведет к проблеме повторного использования паролей в вашей собственной компании.

Интегрируйте безопасность сторонних организаций в повседневные рабочие процессы

При атаке на цепочку поставок доверие становится путем для проникновения. Поставщик, обновление программного обеспечения, аккаунт SaaS, подрядчик или интеграция, которые обычно поддерживают работу бизнеса, могут стать маршрутом для доступа злоумышленников к данным или системам.

Малый бизнес не может обойтись без сторонних организаций, да в этом и нет необходимости. Инструменты SaaS, ИТ-провайдеры, подрядчики и поставщики — неотъемлемая часть работы современной компании. Цель состоит в том, чтобы управлять этими отношениями и контролировать их в достаточной степени, чтобы раскрытие данных одной компании не привело к более масштабной утечке.

Начните с основ: составьте карту поставщиков, оцените их доступ, задайте вопросы о безопасности, применяйте принцип наименьших привилегий, используйте принципы нулевого доверия, отслеживайте подозрительную активность и планируйте действия на случай раскрытия данных сторонних организаций. Затем снизьте риски, связанные с учетными данными, предоставив каждому поставщику и стороннему сервису собственный уникальный пароль.

Proton Pass помогает компаниям внедрить этот контроль в повседневную практику. Когда для входа каждого поставщика используются свои уникальные учетные данные, общий доступ предоставляется только внутри зашифрованных хранилищ, а ваши сотрудники могут отозвать доступ сразу после завершения сотрудничества, один скомпрометированный пароль вряд ли вызовет цепную реакцию во всех аккаунтах вашей компании.