W cyberbezpieczeństwie coraz częściej mówi się nie o ataku bezpośrednim, lecz pośrednim – takim, który wymaga czasu, cierpliwości i dobrej znajomości ekosystemów dostawców. Ataki na łańcuchy dostaw oprogramowania stają się jednym z najgroźniejszych narzędzi w arsenale cyberprzestępców, a szczególnie podatna okazuje się tu infrastruktura przemysłowa – z jej długowiecznymi systemami wbudowanymi, przestarzałymi aktualizacjami i rozproszoną odpowiedzialnością za komponenty.
Według Europejskiej Agencji ds. Cyberbezpieczeństwa (ENISA), skala tego zagrożenia w Europie wzrosła ponad dwukrotnie od 2020 roku. Cyberatak może rozpocząć się od zainfekowanego firmware’u, źle zabezpieczonej biblioteki open source czy aktualizacji od zewnętrznego partnera. I nie musi kończyć się na jednej firmie. Właśnie na tym polega perfidia ataków łańcucha dostaw: kompromitacja jednego komponentu może uruchomić efekt domina, który przejdzie przez klientów, podwykonawców, a nawet użytkowników końcowych.
Wbudowane zagrożenie
W sektorze przemysłowym słabym ogniwem są systemy wbudowane – powszechnie stosowane w automatyce, maszynach produkcyjnych, sterownikach czy urządzeniach IoT. Wiele z nich pracuje latami, często bez aktualizacji i z minimalnym nadzorem pod kątem cyberbezpieczeństwa. Realne przykłady? Wciąż działające urządzenia wykorzystujące stare wersje systemów operacyjnych czasu rzeczywistego (RTOS), zawierające niewidoczne na pierwszy rzut oka komponenty open source.
Ryzyko nie jest hipotetyczne. Według danych ENISA, już dwie trzecie firm w Europie miało styczność z atakiem pochodzącym od skompromitowanego dostawcy. A według szacunków Cybersecurity Ventures, globalne szkody z tego tytułu sięgają 80 miliardów dolarów rocznie. Przemysł w Niemczech, którego zależność od międzynarodowych komponentów cyfrowych szacuje się na 370 mld USD rocznie, wydaje się szczególnie narażony – ale to ryzyko dotyczy każdej zglobalizowanej gospodarki.
Open source – siła czy słabość?
Około 80% wszystkich firmware’ów zawiera elementy open source. Biblioteki takie jak OpenSSL czy BusyBox są integralną częścią wielu urządzeń, a jednocześnie mogą być wektorem globalnego kryzysu bezpieczeństwa, jeśli nie zostaną odpowiednio monitorowane. Problem nie tkwi w samym otwartym kodzie, ale w braku kontroli nad jego wykorzystaniem i braku automatycznych procesów aktualizacji i audytu.
Dla producentów urządzeń oznacza to konieczność znacznie głębszej weryfikacji dostarczanego oprogramowania – nie tylko pod kątem funkcjonalności, ale także integralności i podatności. Coraz większą popularnością cieszą się platformy takie jak ONEKEY OCP, które pozwalają analizować firmware i systemy RTOS pod kątem luk bezpieczeństwa – wcześniej praktycznie niemożliwe do wykrycia bez dostępu do pełnego kodu źródłowego.
Nowe regulacje, nowe obowiązki
Presja na producentów rośnie nie tylko ze strony hakerów, ale także regulatorów. Wchodząca w życie unijna ustawa o odporności cybernetycznej (Cyber Resilience Act) oraz dyrektywa EN18031 nakładają konkretne obowiązki na firmy produkujące urządzenia sieciowe i radiowe. Bezpieczeństwo musi być wbudowane w produkt – od fazy projektowania po obsługę posprzedażową. To zasadnicza zmiana paradygmatu.
Dla wielu firm będzie to wyzwanie – nie tylko technologiczne, ale i organizacyjne. Audyt całego łańcucha dostaw, testy komponentów firm trzecich, systematyczne skanowanie podatności – to procesy, które wymagają nowego podejścia, odpowiednich narzędzi i specjalistycznych kompetencji. Jednocześnie ignorowanie tych wymogów może oznaczać nie tylko ryzyko cyberataku, ale i odpowiedzialność prawną.
Z prognoz Gartnera wynika, że do końca 2025 roku prawie co druga firma na świecie doświadczy ataku na łańcuch dostaw. W przypadku infrastruktury przemysłowej oznacza to ryzyko zatrzymania produkcji, zerwania dostaw lub utraty danych. I choć największe straty finansowe ponoszą zazwyczaj firmy z sektora IT i usług cyfrowych, to przemysł – przez swoją złożoność i inercję – może ucierpieć najdotkliwiej.
Żadna firma nie jest zbyt mała, by stać się celem. Nawet lokalny dostawca komponentów IoT może być punktem wejścia dla złośliwego kodu, który później trafi do globalnego łańcucha wartości. W tej układance najsłabsze ogniwo może zaważyć o losach całego ekosystemu.
