W opublikowanym przez CSIRT GOV „Raporcie o stanie bezpieczeństwa cyberprzestrzeni RP w 2024 roku”, szczególną uwagę zwraca rozdział (8) poświęcony bezpieczeństwu łańcucha dostaw. Pada tam kluczowe zdanie: „zapewnienie bezpieczeństwa krajowej infrastruktury krytycznej jest dziś jednym z najważniejszych wyzwań stojących przed Polską” – i to nie tylko z powodu rosnącej liczby incydentów, ale również w kontekście wojny w Ukrainie, która pokazała, że działania kinetyczne i cyberprzestrzeń są dziś nierozłączne. Dla wielu organizacji działających w sektorach strategicznych to nie tylko kwestia odpowiedzialności – ale również czasu.
Ataki przez dostawców to już codzienność
Rozdział 8 raportu wskazuje, że jednym z najpoważniejszych zagrożeń dla ciągłości działania organizacji – w tym tych realizujących zadania o znaczeniu państwowym – są ataki na zaufanych partnerów i podwykonawców. Cyberprzestępcy coraz częściej rezygnują z atakowania „twardych celów” i kierują się tam, gdzie brakuje odpowiednich zabezpieczeń: do dostawców oprogramowania, firm świadczących usługi serwisowe, integratorów czy nawet dostawców sprzętu.
W 2024 roku Polska doświadczyła kilku istotnych incydentów z tym związanych – w tym wycieku 5,9 TB danych z firmy z branży automatyki i IoT oraz kolejnych 1,2 TB z przedsiębiorstwa IT świadczącego usługi na rzecz administracji publicznej. Wśród danych znalazły się informacje projektowe, dane osobowe, umowy, ale też – co najgroźniejsze – poświadczenia dostępowe do systemów klientów.
W jednym z przypadków wektorem ataku okazało się urządzenie zainstalowane przez zewnętrznego serwisanta – modem USB z kartą SIM, który umożliwił zdalny dostęp do środowiska OT w sektorze energetycznym. Przykład ten doskonale pokazuje, że zagrożenie nie zawsze zaczyna się w sieci – czasem zaczyna się w torbie narzędziowej partnera. Dlatego tak istotne jest, by współpracować wyłącznie z partnerami sprawdzonymi, obecnymi od lat na rynku, o potwierdzonej reputacji i transparentnej historii – bez incydentów czy przypadków naruszeń. Wybór dostawcy usług lub technologii nie powinien opierać się wyłącznie na funkcjonalności czy cenie – ale również na zaufaniu, standardach, zgodności z normami oraz przewidywalności zachowań w sytuacjach kryzysowych.
Zarządzanie powierzchnią ataku jako odpowiedź – ale na swoją warstwę ryzyka
Na tym tle szczególnego znaczenia nabiera zarządzanie powierzchnią ataku (Attack Surface Management, ASM) – czyli proces identyfikowania, mapowania i monitorowania wszystkich zasobów widocznych z zewnątrz: publicznych serwisów, subdomen, otwartych portów, interfejsów API czy urządzeń umożliwiających zdalny dostęp. W uproszczeniu: ASM daje organizacji wgląd w to, co może zobaczyć i zaatakować cyberprzestępca.
To istotne, ponieważ wiele zagrożeń wynika nie tyle z zaawansowanego ataku, co z braku świadomości,że jakaś usługa jest wystawiona, że jakiś system testowy działa bez autoryzacji, że partner ma zbyt szerokie uprawnienia, albo że ktoś kiedyś nie wyłączył punktu dostępowego.
ASM pozwala:
- szybko wykryć nieautoryzowane zmiany i wystawione usługi,
- identyfikować punkty wejścia, które mogą zostać użyte do eskalacji ataku,
- monitorować zależności między zasobami własnymi a zewnętrznymi,
- wdrażać podejście Zero Trust w relacjach z partnerami i usługodawcami,
- i – co nie mniej ważne – realizować obowiązki wynikające z regulacji takich jak DORA, NIS2 czy dyrektywa CER.
ASM to nie wszystko
Raport CSIRT GOV trafnie zauważa, że jednym z najtrudniejszych do wykrycia scenariuszy ataku na łańcuch dostaw jest wprowadzenie złośliwego kodu w ramach legalnej aktualizacji oprogramowania lub dostarczenie podatnych komponentów przez zaufanego dostawcę. Tego typu zagrożenia – trudne do wykrycia tradycyjnymi metodami – wymagają zupełnie innych środków zaradczych niż te, które oferuje ASM.
Zarządzanie powierzchnią ataku nie zastąpi testów bezpieczeństwa kodu, nie przeanalizuje biblioteki w pakiecie instalacyjnym i nie sprawdzi intencji producenta. Ale to nie jego rola. ASM działa równolegle – skupia się na widoczności, ekspozycji i identyfikacji punktów wejścia, przez które atak może się rozpocząć lub rozprzestrzenić.
Dlatego niezwykle istotne jest komplementarne podejście do bezpieczeństwa – takie, które łączy zarządzanie powierzchnią ataku z przemyślanym doborem zaufanych rozwiązań dostarczanych przez producentów działających zgodnie z uznanymi normami, standardami branżowymi i zasadami transparentności.
W szczególności warto sięgać po technologie, które wspierają organizacje w realizacji modelu Zero Trust, zapewniają granularną kontrolę dostępu, skutecznie chronią dane niezależnie od lokalizacji użytkownika oraz integrują się z ekosystemem zabezpieczeń. Rozwiązania takie jak te oferowane przez Forcepoint, Delinea, SentinelOne czy Labyrinth odpowiadają na te potrzeby – nie tylko funkcjonalnie, ale również zgodnością z wymogami regulacyjnymi i praktyką audytową.
Zgodnie z art. 6 dyrektywy CER, do 17 lipca 2026 r. każde państwo członkowskie musi zidentyfikować podmioty krytyczne w sektorach określonych w załączniku – m.in. energetyce, transporcie, zdrowiu, infrastrukturze cyfrowej i finansach. Te organizacje zostaną objęte obowiązkami dotyczącymi m.in. ciągłości działania, gotowości operacyjnej, planów odtworzeniowych i zarządzania ryzykiem.
Skala i charakter zagrożeń, opisana w raporcie CSIRT GOV, wskazują, że działania należy podejmować teraz – zanim incydent sam zdecyduje, kto należy do grona podmiotów krytycznych.
Wnioski? Realna odporność zaczyna się od widoczności
Zarządzanie powierzchnią ataku nie zastąpi testów penetracyjnych, systemów EDR/XDR, DLP czy kontroli wersji oprogramowania. Ale bez niego każda inna technologia działa w ciemności.
Nie można bronić czegoś, czego się nie widzi!
Wdrożenie ASM to praktyczny, możliwy do wdrożenia krok, który może znacząco ograniczyć ryzyko – zarówno operacyjne, jak i regulacyjne. Zwłaszcza, jeśli powierzysz go partnerowi, który rozumie nie tylko technologię, ale też kontekst działania Twojej organizacji.
