Predplatné

HN špeciál

7132663
Dreamstime
StoryEditor

Útočníci majú novú vstupnú bránu do slovenského priemyslu

26.06.2026, 00:00
Autor:
HNšpeciálHNšpeciál

Slovenská ekonomika stojí na priemysle a automobilovom sektore, kde sú rozsiahle dodávateľské reťazce absolútne kľúčové. Využívajú to aj kybernetickí útočníci, ktorí už neútočia priamo na korporácie, ale na ich dodávateľov.

Vyhodnocovanie dôveryhodnosti a spoľahlivosti dodávateľa len na základe toho, či absolvoval audit kybernetickej bezpečnosti, už nestačí.

Vstupná brána

Hoci veľké podniky investujú niekedy aj milióny eur do ochrany perimetra, infraštruktúry a vzdelávania zamestnancov, útočníci často volia cestu najmenšieho odporu.

Namiesto priameho útoku sa zameriavajú na menších dodávateľov alebo poskytovateľov služieb, cez ktorých sa môžu k cieľu dostať omnoho jednoduchšie. V známom incidente SolarWinds útočníci kompromitovali proces vývoja a aktualizácií softvéru, v dôsledku čoho sa škodlivý kód od dodávateľa softvérového produktu dostal k tisíckam organizácií vrátane vládnych inštitúcií a korporácií.

Firmy reagujú

Pre prísnejšiu legislatívu aj čoraz častejšie bezpečnostné incidenty si firmy naplno uvedomujú riziká aj povinnosti. Od dodávateľov si často žiadajú reálny dôkaz technickej odolnosti v podobe penetračného testu aplikácie či IT riešenia pred jeho zakúpením, nielen vyplnené bezpečnostné dotazníky a certifikáty.

Tento tlak na overovanie bezpečnosti softvérových produktov sa ukázal aj v našich dátach. Kým v roku 2024 viedol v záujme o penetračné testovanie finančný sektor, Citadelo Ethical Hacking Report za minulý rok ukazuje, že vývojári softvéru sa stali suverénne druhým najčastejšie testovaným segmentom.

Firmy si zároveň uvedomujú, že najzraniteľnejším článkom stále zostáva človek. Dokazuje to aj výrazný nárast záujmu o simulované phishingové a vishingové útoky, ktoré pomáhajú overovať pripravenosť zamestnancov na reálne hrozby.

Bezpečnosť v procese

Napriek väčšiemu záujmu o testovanie softvérových produktov vidíme značný priestor na zlepšenie bezpečnosti procesov softvérového vývoja.

V konečnom dôsledku je totiž úplne jedno, aká bezpečná je jedna konkrétna verzia softvéru, ktorú sme testovali, ak dodávateľ podcení bezpečnosť samotného vývojového procesu.

Sú tu riziká spojené s interným útočníkom, možnosťou kompromitácie prostredníctvom závislostí tretích strán v dôsledku útokov typu dependency confusion či dokonca so škodlivými rozšíreniami vo vývojárskom prostredí. Všetko to otvára cestu ku kompromitácii výslednej aplikácie. Bezprostredne po úspešnom penetračnom teste tak môže byť u klientov nasadená nová, kompromitovaná verzia aplikácie.

V každom kroku

Bezpečnosť sa začína pri návrhu architektúry, pokračuje prácou so zdrojovým kódom, správou prístupov až po kompiláciu, testovanie a nasadenie. Základom je správne nastavenie procesov, ako sú chránené vetvy v repozitároch, revízie kódu, riadenie prístupov, zavedenie automatizovaných bezpečnostných skenov či skenovanie závislostí.

Dôležitou súčasťou je aj transparentnosť pri použití knižníc a balíčkov. Až kombinácia týchto a mnohých ďalších opatrení je predpokladom toho, že sa bezpečnosť netýka len výsledného softvérového produktu, ale celého procesu od jeho vzniku až po dodanie zákazníkovi a prípadné aktualizácie.

Čo žiadať od dodávateľov

Certifikácie, ako sú ISO/IEC 27001 alebo TISAX, ktorý je kľúčový pre automobilový priemysel, sú výborným odrazovým mostíkom. Okrem jednorazového penetračného testu dodaného riešenia treba od partnerov žiadať aktívne dôkazy o stave ich celkovej kybernetickej hygieny.

Zaujímajte sa o to, či dodávateľ pravidelne absolvuje bezpečnostné audity a penetračné testy svojej vlastnej internej infraštruktúry. Kľúčové je vyžadovať aj preukázanie bezpečnosti samotného vývojového procesu, čo zahŕňa bezpečnosť CI/CD pipelineu, riadenie prístupov a systematickú správu softvérových závislostí. Nevyhnutnosťou je dnes aj predloženie takzvaného Software Bill of Materials, ktorý presne a transparentne mapuje, z akých komponentov sa produkt skladá.

Strategický pohľad

Bezpečnosť dodávateľského reťazca už dávno presahuje rámec bezpečnosti IT a stáva sa strategickým podnikateľským rizikom. V dnešnom prepojenom svete IT už nestačí investovať výhradne do ochrany vlastnej infraštruktúry. Kľúčové je systematicky riadiť riziká aj v dodávateľskom ekosystéme a hodnotiť skutočnú, nielen deklarovanú bezpečnostnú úroveň partnerov, od ktorých sú závislé vaše interné procesy a prevádzka.

Michal Greguš, etický hacker Citadelo

#KYBERNETICKÁ BEZPEČNOSŤ#KYBERBEZPEČNOSŤ
menuLevel = 1, menuRoute = hn-special, menuAlias = hn-special, menuRouteLevel0 = hn-special, homepage = false
26. jún 2026 00:02