Ataki na łańcuch dostaw — dlaczego Twój dostawca IT może być Twoim największym ryzykiem

W świecie tradycyjnych oszustw królowała metoda na wnuczka. W cyberprzestrzeni jej odpowiednikiem stała się metoda na dostawcę. Mechanizm jest prosty: zamiast atakować dobrze zabezpieczoną dużą organizację, cyberprzestępcy wybierają małego podwykonawcę, który ma dostęp do jej systemów. Mały podmiot rzadko ma CISO, rzadko przeprowadza audyty, rzadko monitoruje logi. Za to ma pełnomocnictwo do łączenia się z systemami głównego klienta.

W grudniu 2020 roku hakerzy wstrzyknęli złośliwy kod do aktualizacji oprogramowania SolarWinds Orion, używanego przez 18 000 organizacji na całym świecie, w tym agencje rządowe USA i europejskie korporacje. Nikt z tych 18 000 podmiotów nie wiedział, że instaluje backdoora — oprogramowanie pochodziło od zaufanego dostawcy. W Polsce w 2025 roku odnotowano zmanipulowane skrypty na GitHub i włamanie do dostawcy usług monitoringu IT, który następnie posłużył jako wektor do ataku na jego klientów. Łańcuch dostaw to jeden z głównych wektorów ataków w 2026 roku.

Czym jest atak na łańcuch dostaw i dlaczego jest tak skuteczny

Atak na łańcuch dostaw to cyberatak, w którym przestępcy nie atakują Twojej organizacji bezpośrednio — atakują Twojego dostawcę, podwykonawcę lub partnera technologicznego, który ma dostęp do Twoich systemów lub danych. Zamiast przebijać się przez Twój firewall, używają zaufanego połączenia, które sam otworzyłeś.

Skuteczność tych ataków wynika z prostej prawidłowości: organizacja jest tak bezpieczna, jak jej najsłabsze ogniwo. Duża firma może mieć świetny dział bezpieczeństwa, najnowszy NGFW, wdrożone Zero Trust i regularne pentesty. Ale jeśli jej zewnętrzny księgowy loguje się do firmowego systemu ERP z komputera bez aktualnego antywirusa i hasłem zapisanym w notatniku — całe te zabezpieczenia na nic.

Trzy główne typy ataków na łańcuch dostaw: Kompromitacja oprogramowania — wstrzyknięcie złośliwego kodu do legalnego oprogramowania na etapie tworzenia, aktualizacji lub dystrybucji, tak jak w przypadku SolarWinds. Kompromitacja dostawcy usług — przejęcie kont lub dostępu do systemów dostawcy MSP, kancelarii prawnej, biura rachunkowego lub dostawcy chmury i wykorzystanie tego dostępu do ataku na klientów. Kompromitacja sprzętu — wbudowanie złośliwych komponentów lub firmware w urządzenia sieciowe, serwery lub narzędzia IoT na etapie produkcji lub transportu.

Jak to wygląda w praktyce — scenariusze dla MŚP

Scenariusz 1 — Twój dostawca oprogramowania został skompromitowany: Używasz popularnego oprogramowania do zarządzania magazynem. Producent wysłał aktualizację. Jeden z inżynierów producenta padł ofiarą phishingu, atakujący uzyskał dostęp do repozytorium kodu i dodał do aktualizacji trojana. Twój system automatycznie instaluje aktualizacje. Efekt: ransomware w Twojej sieci, a źródłem jest zaufana, podpisana cyfrowo aktualizacja.

Scenariusz 2 — Twój zewnętrzny informatyk został zaatakowany: Współpracujesz z firmą IT, która zarządza Twoimi serwerami zdalnie. Napastnik atakuje tę firmę IT i przejmuje jej konto z dostępem do Twoich systemów. Przez kilka tygodni czyta Twoje dane i szuka kopii zapasowych. Następnie niszczy lub szyfruje backup i przeprowadza atak ransomware, wiedząc, że nie będziesz mógł się szybko odtworzyć.

Scenariusz 3 — Pracownik instaluje narzędzie od niezweryfikowanego źródła: Pracownik pobiera darmowe narzędzie IT ze strony, która wygląda jak znany producent. Narzędzie zawiera backdoora. Cyberprzestępca ma cichy dostęp do komputera pracownika i przez niego do całej sieci firmowej.

KSC i NIS2 a obowiązkowa weryfikacja łańcucha dostaw

Nowelizacja ustawy o KSC z 3 kwietnia 2026 roku nakłada na podmioty kluczowe i ważne obowiązek uwzględniania ryzyka w łańcuchu dostaw produktów, usług i procesów ICT. Innymi słowy: firmy objęte KSC nie mogą powiedzieć, że nie odpowiadają za bezpieczeństwo swoich dostawców. Muszą aktywnie zarządzać tym ryzykiem, dokumentować oceny dostawców i być gotowe na audyt.

Nawet firmy nieobjęte bezpośrednio KSC coraz częściej są pytane przez klientów i kontrahentów o standardy bezpieczeństwa — duże korporacje i instytucje publiczne zaczynają wymagać od podwykonawców dowodów na dojrzałość bezpieczeństwa w postaci kwestionariuszy, certyfikatów lub wyników audytów.

Checklista weryfikacji dostawcy — 10 pytań, które musisz zadać

Zanim podpiszesz umowę z nowym dostawcą IT, biurem rachunkowym, kancelarią prawną lub innym partnerem, który będzie miał dostęp do Twoich systemów lub danych, zadaj mu te pytania:

1. Czy posiadacie politykę bezpieczeństwa informacji? 2. Czy przeprowadzacie regularne audyty bezpieczeństwa lub testy penetracyjne? 3. Czy posiadacie certyfikat ISO 27001 lub równoważny? 4. Czy wdrożyliście MFA dla dostępu do systemów klientów? 5. Jak zarządzacie uprzywilejowanymi dostępami do systemów klientów? 6. Jak szybko jesteście w stanie zgłosić nam incydent bezpieczeństwa dotyczący naszych danych? 7. Czy przechowujecie nasze dane w Polsce lub w UE? 8. Jak zabezpieczone są Wasze kopie zapasowe? 9. Czy stosujecie zasadę najmniejszych uprawnień przy dostępie do systemów klientów? 10. Czy podpiszecie umowę powierzenia danych zgodną z RODO?

Dostawca, który nie odpowiada na te pytania, nie zna odpowiedzi lub jest niechętny do podpisania umowy powierzenia danych — to sygnał ostrzegawczy.

Jak zmniejszyć ryzyko — 5 działań ochronnych dla MŚP

Zasada najmniejszych uprawnień dla dostawców: Zewnętrzny dostawca IT powinien mieć dostęp tylko do tych systemów, które są niezbędne do jego pracy i tylko w czasie, gdy faktycznie wykonuje zadanie. Systemy PAM czyli Privileged Access Management pozwalają zarządzać tym dokładnie — nagrywać sesje, wymuszać uwierzytelnianie i automatycznie cofać uprawnienia.

Segmentacja sieci: Dostawcy i partnerzy zewnętrzni powinni łączyć się do izolowanego segmentu sieci, a nie bezpośrednio do całej infrastruktury. Jeśli ich konto zostanie przejęte, atakujący nie będzie mógł swobodnie poruszać się po całej sieci firmowej. Sprzętowe rozwiązania sieciowe NGFW z segmentacją VLAN to podstawa tego podejścia.

Monitoring i wykrywanie anomalii: Rozwiązania klasy EDR i XDR pozwalają wykryć nietypowe zachowanie w sieci — na przykład dostęp do danych w godzinach nocnych lub eksport dużych plików. Atak na łańcuch dostaw zazwyczaj nie jest natychmiastowy — hakerzy spędzają tygodnie lub miesiące na rekonesansie. Systemy EDR i XDR z analizą zachowań znacząco skracają czas wykrycia ataku.

Weryfikacja integralności oprogramowania: Przed instalacją aktualizacji oprogramowania weryfikuj podpisy cyfrowe i sumy kontrolne. Unikaj instalowania oprogramowania z niesprawdzonych źródeł. Korzystaj z mechanizmów centralnego zarządzania oprogramowaniem, które pozwalają kontrolować, co jest instalowane na firmowych urządzeniach.

Incydent response obejmujący scenariusz łańcucha dostaw: Twój plan reagowania na incydenty powinien uwzględniać scenariusz, w którym źródłem ataku jest zaufany dostawca. Jak szybko możesz odciąć dostęp zewnętrznego partnera? Kto podejmuje tę decyzję? Audyt cyberbezpieczeństwa pomoże sprawdzić, czy Twoje procedury są gotowe na taki scenariusz.

Podsumowanie

Ataki na łańcuch dostaw są skuteczne, bo uderzają w najsłabsze ogniwo ekosystemu — nie Twoją firmę, ale Twojego dostawcę. Twoja ochrona nie kończy się na Twoim perymtrze sieciowym — obejmuje każdy podmiot, który ma dostęp do Twoich systemów lub danych. W 2026 roku to nie tylko kwestia bezpieczeństwa, ale obowiązku regulacyjnego wynikającego z KSC i NIS2.

Zacznij od prostego kroku: zrób listę wszystkich dostawców i partnerów, którzy mają dostęp do Twoich systemów IT. Dla każdego odpowiedz na 10 pytań z checklisty z tego artykułu. Jeśli potrzebujesz wsparcia — nasz team pomoże przeprowadzić pełną ocenę ryzyka w łańcuchu dostaw, zanim zrobi to za Ciebie atakujący.