Third-Party Breach Report
A Black Kite hetedik éves Third-Party Breach jelentése arra figyelmeztet, hogy a gyártóipari ellátási láncok egyre súlyosabb, láncreakciós jellegű kiberkockázattal szembesülnek. A jelentés szerint 2025-ben a harmadik félhez kapcsolódó incidensek rekordszintet értek el, összesen 136 jelentős beszállítói adatvédelmi incidenssel, amelyek legalább 719 konkrét vállalatot érintettek, és további mintegy 26 000 szervezetet érinthettek közvetetten, amelyek neve nem került nyilvánosságra.
A kutatás egyik legfontosabb megállapítása, hogy az ilyen incidensek hatása egyre inkább lépcsőzetesen terjed az ellátási láncokban. Egyetlen beszállító kompromittálása gyakran több vállalatot is érint, mert a modern ipari ökoszisztémák erősen centralizált szolgáltatókra és közös platformokra épülnek. A jelentés szerint 2025-ben egy beszállítói incidens átlagosan 5,28 további szervezetet érintett, ami történelmi rekord, és jól mutatja, hogy a támadók egyre tudatosabban célozzák a magas függőségi szintű szolgáltatókat és platformokat.
A Black Kite szerint az iparági kockázat nem pusztán technikai hibákból ered, a probléma egyik fő oka az ellátási láncok átláthatóságának hiánya, valamint az, hogy sok esetben a vállalatok nem tudják pontosan, mely beszállítók jelentenek kritikus kockázatot a rendszerükben. Az incidensek feltárása és közzététele gyakran lassú, egy kompromittálás észlelése átlagosan 10 napig, a teljes nyilvános bejelentés pedig átlagosan 73 napig tart, ami elegendő időt biztosít a támadóknak a további terjedéshez.
Az ellátási láncok biztonságát több strukturális probléma is gyengíti. A vizsgált közel 200 000 szervezet átlagos biztonsági értékelése ugyan viszonylag stabil volt, de az adatok azt mutatták, hogy a vállalatok több mint fele rendelkezik legalább egy kritikus sérülékenységgel, és mintegy egynegyedük hitelesítési adatai már megjelentek a dark weben. Emellett a nagy, sok vállalat által használt szolgáltatók körében különösen magas az ismert sérülékenységek és kiszivárgott hitelesítési adatok aránya, ami tovább növeli a rendszerszintű kockázatot.
A hagyományos third-party kockázati modellek, amelyek elsősorban a beszállítók egyedi kockázatát vizsgálják, már nem képesek kezelni az ellátási láncok valós szerkezeti kockázatait. A modern támadók egyre inkább feljebb támadnak az ellátási láncban, azaz olyan központi szolgáltatókat céloznak, amelyek kompromittálása több iparágban is egyszerre okozhat működési zavarokat.
