Постоянный мониторинг: заполнение пробелов в безопасности в управлении рисками поставщиков

Цепочки поставок являются клеем, который держит вместе глобальную экономику. Они также являются значительным источником кибер-рисков для бизнеса. Атаки на поставщиков увеличились на 431% между 2021 и 2024 годами, и, как ожидается, они будут продолжать расти. Это плохие новости для предприятий, с которыми они работают. IBM оценивает, что компрометация третьих сторон поставщиков связана с одними из самых высоких затрат на утечку данных среди любого типа инцидентов: 4,9 миллиона долларов за утечку.

Проблема для руководителей по риску и кибербезопасности заключается в том, что существующие механизмы управления рисками несовершенны. Они могут быть медленными, требовать много ресурсов и иметь слепые пятна. Настоящее управление рисками поставщиков заключается в постоянном надзоре и контроле.

Неостановимый рост цепочек поставок

Сложные, фрагментированные цепочки поставок являются платой за глобальную коммерцию. За последнее десятилетие они выросли, чтобы поддержать потребительский спрос на более широкий выбор и более низкие цены, обусловленные взрывом онлайн-шопинга. В то же время цифровые цепочки поставок также претерпели значительный рост благодаря распространению программного обеспечения как услуги (SaaS), управляемых поставщиков услуг (MSP) и бизнес-требований к более инновационным и эффективным способам работы.

Результатом является неясность, где должна быть прозрачность, и растущие уровни бизнес-рисков, которые могут поставить под угрозу прибыль и завоеванную лояльность клиентов. Согласно одной оценке, даже средний малый и средний бизнес имеет 800 поставщиков. Когда поставщики поставщиков учитываются, цифры быстро достигают тысяч бизнесов.

Рискованное дело

Это плохие новости для руководителей по информационной безопасности и их команд, которые должны найти способ управления неизбежными кибер-рисками, исходящими от обширных цепочек поставок. Компрометация поставщиков и цепочек поставок составила 15% всех утечек данных в прошлом году, согласно IBM. Verizon утверждает, что эта цифра фактически удвоилась за последний год и достигла 30%. Какова бы ни была фактическая цифра, rõчно, что они могут нанести значительный ущерб.

Третьи стороны, такие как аутсорсинговые компании и профессиональные услуги, могут хранить высоко конфиденциальные учетные данные доступа и другие данные, принадлежащие их клиентам. Это может быть высоко регулируемая личная информация (PII) о клиентах и сотрудниках. Или интеллектуальная собственность, коммерческие секреты или непublic финансовые данные. Все это является значительным притяжением для цифровых вымогателей, которые могут украсть и/или зашифровать их, чтобы заставить платить. Нарушения третьих сторон составили более двух пятых (41%) всех атак вымогательства в 2024 году, согласно одному исследованию.

По мере того, как растет количество поставщиков, растет и риск корпоративного мошенничества, такого как бизнес-электронная компрометация (BEC). Угрозы могут отправить фишинговое письмо члену финансовой команды или даже старшему руководителю, запрашивая оплату за несуществующий счет. Они делают свои атаки более успешными, взломав электронные почтовые аккаунты клиентов/поставщиков, чтобы контролировать коммуникации и понимать, как выглядят счета. Потери от BEC, зарегистрированные в ФБР, достигли почти 2,8 миллиарда долларов в прошлом году, что делает его вторым по величине киберпреступлением.

Затем есть поставщики поставщиков. Одно исследование 2023 года утверждает, что половина изученных организаций имела косвенные отношения с как минимум 200 четвертыми сторонами, которые пострадали от нарушений за последние два года. Чем меньше поставщик, тем меньше ресурсов он может иметь для расходов на лучшие практики кибербезопасности.

Искусственный интеллект – это подарок хакерам

Технология искусственного интеллекта все чаще используется киберпреступниками для улучшения их показателей успеха. Фактически, британские правительственные эксперты предупредили в этом году, что технология “почти наверняка продолжит делать элементы кибер-вторжения более эффективными и эффективными”.

Мы можем увидеть это в том, как генеративный ИИ позволяет создавать фишинговые кампании на естественных, безупречных местных языках. В том, как он может помочь угрозам проверять уязвимости системы и выбирать цели. И в том, как он может даже помочь в создании вредоносного ПО и эксплойтов. Это почему ИИ приведет к “увеличению частоты и интенсивности кибер-угроз” в течение следующих двух лет, предупреждает отчет.

В зависимости от типа и объема безопасности инцидента, воздействие на клиентов нарушенного поставщика варьируется от финансового и репутационного ущерба до регулирующего риска и операционного нарушения. Чем дольше инцидент остается незамеченным, тем больше времени у угроз есть внутри сети, и, в конечном итоге, тем больше будет стоить очистить и восстановиться. К сожалению, компрометации цепочки поставок занимают больше всего времени для решения, согласно IBM.

Одним из примеров является недавнее раскрытие крупного нарушения безопасности в компании Conduent, поставщике услуг с доходом в миллионы долларов. Более 11 миллионов американцев могли иметь свои номера социального страхования, данные медицинского страхования и медицинскую информацию, согласно отчетам. И хотя они были только что уведомлены в ноябре 2025 года, окружение компании, как полагают, было скомпрометировано еще в октябре 2024 года.

Почему постоянный мониторинг имеет значение

К счастью, ИИ также может помочь добрым парням преодолеть общие проблемы с управлением кибер-рисками поставщиков. Слишком многие организации борются с медленными, ручными процессами и длинными опросами, которые вызывают задержки и создают слепые пятна. Несовместимая документация поставщиков делает трудным сравнение оценок рисков по всей экосистеме и понимание того, что наиболее важно для бизнеса.

Вместо этого с данными и ИИ-центрическим подходом организации могут автоматизировать выполнение тяжелой работы, как на этапе наboarding, так и после него. Последнее важно, потому что риск не прекращается после одобрения поставщика. Он продолжает развиваться, потенциально каждый час или каждый день, с каждой новой уязвимостью программного обеспечения, нарушением безопасности или неправильно настроенным аккаунтом. Поставщики могут инвестировать в новую инфраструктуру, увеличивая свою поверхность атаки. Они могут добавить новых поставщиков, меняя воздействие риска. И они могут быть нацелены на новые кампании угроз.

Все это требует более активного подхода к управлению рисками третьих сторон, который выходит за рамки сбора и обработки опросов и документации поставщиков. Он должен быть сосредоточен на выявлении рисков в реальном времени, чтобы организация могла принять меры быстро, прежде чем будет нанесен любой ущерб.

Начало работы с ИИ

Достижение такого 360-градусного, постоянного понимания кибер-рисков поставщиков потребует большого количества данных и интеллектуальных алгоритмов для выделения подозрительных закономерностей. Чем больше высококачественных данных, тем лучше видимость. Это может включать потоки разведки угроз, которые сканируют темные веб-форумы на предмет ранних предупреждений о нарушении. Или мониторинг уязвимостей, который подчеркивает отсутствующие обновления безопасности в имуществе поставщиков. Это также может отслеживать доказательства компрометации электронной почты среди финансовых отделов поставщиков, которые могут указывать на входящие атаки BEC. Или даже подозрительные закономерности транзакций, связанные с этими поставщиками.

ИИ может быть использован для выявления критических рисков в реальном времени, чтобы принять немедленные меры. И чтобы автоматически присвоить постоянно обновляемый балл риска для каждого поставщика, взвешенный в соответствии с политиками клиентов, постурой и критичностью для бизнеса.

Агентный ИИ также может быть мощным союзником, работающим автономно для ингестирования и анализа сложной документации поставщиков, такой как отчеты SOC 2 и внутренние политики безопасности, и сопоставления контроля с установленными框ами, такими как NIST CSF или ISO 27001. Это может обеспечить видимость соответствия за считанные минуты, а не часы, освобождая время для команд безопасности и рисков, чтобы работать над более ценными задачами. В зрелых организациях ИИ-агенты также могут работать самостоятельно для решения и смягчения обычных проблем – или, по крайней мере, для маршрутизации их к правильному члену команды для оперативного внимания.

Объединение всего

Ключом является обеспечение того, чтобы любая такая система для управления кибер-рисками поставщиков была объединена, чтобы данные о рисках не оказались в изоляции и не были непригодны для использования. Идеально, та же платформа должна позволять другие виды управления рисками поставщиков, в таких областях, как соответствие требованиям, устойчивость, финансы и операции. Это должно обеспечить тот вид информации, на основе которой можно принимать лучшие бизнес-решения.

Прежде всего, помните, что кибер-риск является фундаментально бизнес-риском. Он никогда не может быть устранен. Но он может быть управляем более эффективно.