Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Artykuł

Zarządzanie cyberbezpieczeństwem łańcucha dostaw

Autor/ka
Davidson Consulting
ikona facebook
ikona linkedin

Eksperci ds. zarządzania kryzysowego i ciągłości działania

Patrząc na obecną skalę zagrożeń, trudno nie zauważyć, że cyberbezpieczeństwo łańcuchów dostaw przestało być tematem zastrzeżonym dla działów IT. Stało się palącym problemem zarządczym, który coraz częściej trafia na stoły członków zarządów największych korporacji.

Dostawcy padają ofiarą cyberataków

Badanie przeprowadzone przez Chartered Institute of Procurement and Supply (CIPS) we wrześniu 2025 roku rzuca nowe światło na skalę wyzwania. Analiza objęła imponującą próbę – 64 000 organizacji rozsianych po 150 krajach. Według nich niemal co trzeci menedżer (29%) potwierdził, że w ciągu ostatniego półrocza firmy w jego łańcuchu dostaw padły ofiarą cyberataku.

Co więcej, cyberzagrożenia awansowały do pierwszej ligi ryzyk korporacyjnych, stając obok zagrożeń największego kalibru, takich jak napięcia geopolityczne czy wojny handlowe. Niektórzy chcą wierzyć, że to ich nie dotyczy. My dla odmiany trąbimy o tym od dłuższego czasu, że prędzej czy później czas może przyjść na każdego.

Głośne przypadki cyberataków na dostawców

Można długo mówić o statystykach, ale prawdziwy obraz sytuacji malują konkretne historie firm, które przekonały się o skutkach cyberataków na własnej skórze.

  • Jaguar Land Rover doświadczył incydentu, który można śmiało nazwać koszmarem każdego dyrektora operacyjnego. Atak był na tyle poważny, że zmusiło to brytyjskiego producenta do całkowitego wstrzymania produkcji i to nie w jednej lokalizacji, ale w fabrykach rozsianych po całym świecie: w Wielkiej Brytanii, Słowacji, Indiach i Brazylii. Przestój trwał pięć tygodni - firma rozpoczęła stopniowe wznawianie pracy w kluczowych fabrykach w Wielkiej Brytanii od środy, 8 października 2025 roku. Proces odmrażania produkcji nie został jeszcze całkowicie ukończony. Pełny powrót do normalnego funkcjonowania może potrwać jeszcze kilka tygodni. Jaki był tego koszt? W zależności od przyjętej metodyki było to ok. 120 milionów funtów utraconych zysków lub 1,7 miliarda funtów utraconych przychodów. Nie są to kwoty, które można zignorować w raporcie rocznym.

  • Japoński gigant Asahi - jeden z pięciu największych browarów na świecie i zarazem właściciel polskiej Kompanii Piwowarskiej - również padł ofiarą hakerów. Pod koniec września cyberatak sparaliżował kluczowe operacje firmy: produkcję, przetwarzanie zamówień, wysyłkę, a nawet call center we wszystkich zakładach produkcyjnych w Japonii.

  • Nie oszczędzono też brytyjskiego handlu detalicznego. Marks & Spencer czy Co-op musiały zmagać się z atakami, które przyniosły straty liczone w dziesiątkach milionów funtów. Omawialiśmy ten przypadek w jednym z naszych filmów.

Dlaczego ataki ransomware mają tak dotkliwe skutki?

Współczesne gospodarka funkcjonuje w oparciu o skomplikowaną sieć wzajemnych powiązań, działających w trybie "just-in-time" i jest niemal całkowicie zależna od systemów ICT. Umożliwia to bezprecedensowy rozwój i wzrost gospodarczy, ale z punktu widzenia bezpieczeństwa stworzyliśmy po drodze wiele pojedynczych punktów awarii (single point o failure), w których tkwi słabość całego systemu. Dopóki sytuacja geopolityczna była względnie spokojna i przewidywalna, całkowite przerwanie łańcuchów dostaw wydawało się na tyle rzadkie i łatwe do  zarządzenia, że większość organizacji uznawała taki scenariusz za akceptowalne ryzyko.

Niestety, optymistyczne założenia nie mają już racji bytu w zarządzaniu ryzykiem, zwłaszcza ryzykiem w obszarze cyberbezpieczeństwa. Ataki typu ransomware, phishing czy trojany przenikające od zaufanych dostawców IT nikogo już nie dziwią. Cyberprzestępcy doskonale to rozumieją i stosują prostą, choć skuteczną strategię: zamiast atakować fortecę od frontu, szukają furtki. Najczęściej okazuje się nią mniejszy poddostawca, firma pracująca zdalnie lub słabo zabezpieczona infrastruktura chmurowa gdzieś w trzecim rzędzie łańcucha dostaw.

Problem potęguje fakt, że systemy informatyczne również są ze sobą silnie zintegrowane. To co w normalnych warunkach jest zaletą (efektywność, automatyzacja, komunikacja w czasie rzeczywistym), w przypadku ataku staje się przekleństwem. Awaria w jednym punkcie może wywołać efekt domina, paraliżując cały łańcuch.

Strategia cyberbezpieczeństwa dla łańcucha dostaw

Dobra wiadomość jest taka, że coraz więcej firm zaczyna traktować cyberbezpieczeństwo i ciągłość działania jako inwestycję strategiczną, a nie zbędny koszt. Zarządy uznają je za nieodzowny element zarządzania ryzykiem i budowania odporności operacyjnej. I szczerze mówiąc, jak eksperci nie możemy się nadziwić, że ciągle są firmy, które nie priorytetyzują tego aspektu współczesnej działalności. One zdecydowanie zostaną w tyle i po prostu stracą na kontynuowaniu wyparcia powagi tej sytuacji.

Strategie rozwoju ICT są coraz częściej uzupełniane o strategię cyberbezpieczeństwa, zgodnie z zasadą “security by design” i obejmują inwestycje w zaawansowane systemy wykrywania i reagowania na incydenty, regularne audyty cyberbezpieczeństwa nie tylko wewnętrzne, ale również przeprowadzane u kluczowych dostawców, oraz systematyczne szkolenia pracowników, którzy z reguły najczęstszym wektorem ataku.

Coraz więcej organizacji przyjmuje wielowarstwowe podejście do zabezpieczeń. Łączą technologię z przemyślanymi politykami wewnętrznymi, procedurami operacyjnymi i budowaniem świadomości i kultury bezpieczeństwa w całej organizacji, a także wśród swoich dostawców.

Rekomendowane środki kontroli dla łańcucha dostaw

Jeśli zastanawiacie się, od czego zacząć, oto kilka praktycznych kroków:

Przede wszystkim poznaj swój łańcuch dostaw.

Przeprowadź identyfikację jego uczestników (najlepiej zarówno dostawców jak i ich poddostawców, którzy maj wpływ na Twój łańcuch dostaw) oraz interfejsów, technologicznych i operacyjnych, pomiędzy bezpośrednimi dostawcami a Twoją organizacją.

Sklasyfikuj dostawców pod kątem ich krytyczności dla Twoich operacji.

Oceń ich potencjalny negatywny wpływ na twój łańcuch dostaw i na Twoją działalność. Wpływ możesz oceniać pod kątem cyberbezpieczeństwa, ale także pod kątem ciągłości działania Twoich operacji, strat finansowych, zgodności z obowiązującym prawem (naruszenia prawa po stronie dostawcy mogą rykoszetem uderzyć także w Ciebie), wpływ na środowisko (szczególnie, jeśli podlegasz wymogom ESG). Za pośrednictwem jednej analizy uzyskasz cenne informacje dla wielu obszarów swojej organizacji.

Przeprowadź szczegółową analizę ryzyka pod kątem zagrożeń,

które mogą spowodować negatywne skutki zidentyfikowane w poprzednim kroku oraz zabezpieczenia po stronie dostawców i po własnej stronie. Nie ograniczaj się do pierwszego rzędu dostawców. Postaraj się weryfikować także ekspozycję na te zagrożenia i odporność na nie ich kluczowych poddostawców. Audyt cyberbezpieczeństwa i odporności operacyjnej powinien stać się standardem przed nawiązaniem długoterminowej współpracy.

Wprowadź jasne wymagania bezpieczeństwa do umów z partnerami biznesowymi.

Niech to będzie część kontraktu, a nie luźne zalecenie. Określ konkretne wymagania, których spełnienia oczekujesz i mechanizmy weryfikacji ich przestrzegania. Pamiętaj o tym, aby wymagania te były adekwatne do poziomu ryzyka i do roli poszczególnych dostawców w łańcuchu dostaw. Twoim celem powinna być minimalizacja precyzyjnie zidentyfikowanego i rzetelnie ocenionego ryzyka dla Twojej działalności, a nie stosowanie jednolitych, często nadmiarowych i nieuzasadnionych wymagań dla wszystkich dostawców.

Zainwestuj w ludzi.

Najlepsza technologia na świecie nie pomoże, jeśli pracownik kliknie w phishingowy link. Regularne szkolenia, symulacje ataków, budowanie świadomości zagrożeń. To wszystko musi stać się częścią kultury organizacyjnej. Świetnym sposobem jest wysłanie kluczowych pracowników na szkolenie “Zarządzanie cyberbezpieczeństwem - poziom specjalista”. To doskonały sposób na zwiększanie odporności firmy oraz sygnał, że firma stawia na bezpieczeństwo oraz rozsądnych pracowników.

Technologia ma znaczenie.

Nowoczesne systemy monitoringu, narzędzia do wykrywania anomalii, rozwiązania zapewniające szybką reakcję na incydenty. Jest to w tej chwili konieczność.

Przygotuj się na najgorsze.

Strategia zarządzania ciągłością działania (BCM) musi uwzględniać scenariusze cyberataków na łańcuch dostaw. Co zrobisz, gdy kluczowy dostawca zostanie sparaliżowany? Jakie masz plany awaryjne? Jak szybko możesz uruchomić alternatywne źródła dostaw lub wykonawców?

Skorzystaj ze wsparcia ekspertów.

Nie wszystko da się zrobić samemu. A na pewno łatwiej jest skorzystać z zasobów eskperckich firm, które mają doświadczenie w szacowaniu ryzyka. Skorzystaj z tego, co oferujemy naszym klientom i co od ponad 20 lat przynosi im wymiernie skutki.

Nie ma odwrotu od zarządzania ryzykiem w łańcuchu dostaw

Wzrost cyberzagrożeń w łańcuchach dostaw to nowy stały element rzeczywistości biznesowej, który z pewnością nie zniknie samoistnie i który wymaga zmiany podejścia do zarządzania ryzykiem. Bezpieczeństwo łańcuchów dostaw musi znaleźć się na samym szczycie piramidy priorytetów, a zaangażowanie i wsparcie najwyższego kierownictwa ma kluczowe znaczenie dla zapewnienia przetrwania firm.

Zapisz się już teraz! 

Subskrybując newsletter Davidson Consulting, otrzymujesz merytoryczne analizy z zakresu zarządzania ryzykiem, ciągłości działania, cyberbezpieczeństwa i compliance (m.in. DORA, NIS2), a także informacje o naszych usługach i produktach, które pomogą Ci skutecznie wdrożyć prezentowane strategie.  

Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.
* - Pole obowiązkowe
Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.
Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

Najnowsze artykuły:

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania
Katastrofa śmigłowca właścicieli SUP-FOL
Duńska "Nocna Straż"
Dyrektywa NIS2: Nowe obowiązki i szanse dla polskich firm
Atak Shai Hulud 2.0.

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Sprawa Lu dostarcza materiału analitycznego, nad którym powinna pochylić się każda organizacja.
Czytaj dalej
Case Study

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Cyberbezpieczeństwo
Incydenty
insider threat, zagrożenia wewnętrzne, cyberbezpieczeństwo, sabotaż w firmie, zarządzanie ryzykiem IT, ciągłość działania, bezpieczeństwo informacji, ochrona infrastruktury, Davis Lu, Eaton Corporation, złośliwy kod, zarządzanie uprawnieniami, audyt bezpieczeństwa, Business Continuity Plan, ryzyko osobowe, incydenty bezpieczeństwa, ochrona danych, zwolnienie pracownika IT, separacja obowiązków
Podmioty ważne i kluczowe

Atak Shai Hulud 2.0.

Ujawnienie krytycznych sekretów środowiska wykonawczego!
Czytaj dalej
Case Study

Atak Shai Hulud 2.0.

Cyberbezpieczeństwo
Ciągłość działania
Bezpieczeństwo łańcucha dostaw
Incydenty
Proszę bardzo, oto lista słów kluczowych dla artykułu o ataku Shai Hulud 2.0, w formacie po przecinku: Shai Hulud 2.0, atak supply chain npm, bezpieczeństwo CI/CD, złośliwe pakiety npm, non-human identities, zarządzanie sekretami, kradzież kluczy API, ochrona środowiska wykonawczego, rotacja poświadczeń, wyciek danych GitHub, dostęp Just-in-Time, malware w potokach CI/CD, audyt bezpieczeństwa ICT, environment.json, cyberbezpieczeństwo 2025
IT i technologia

Katastrofa śmigłowca właścicieli SUP-FOL

Lekcje o sukcesji, prokurencie i ciągłości działania spółki z o.o.
Czytaj dalej
Case Study

Katastrofa śmigłowca właścicieli SUP-FOL

Ciągłość działania
Zarządzanie kryzysowe
Incydenty
katastrofa śmigłowca, wypadek lotniczy, wypadek śmigłowca pod Rzeszowem, tragedia w firmie rodzinnej, śmierć przedsiębiorców, SUP-FOL, SupFol, katastrofa śmigłowca SUP-FOL, spółka z o.o., firmy rodzinne Polska, sukcesja w firmie, sukcesja przedsiębiorstwa, sukcesja w spółce z o.o., śmierć wspólnika, śmierć członka zarządu, co po śmierci wspólnika, co po śmierci członka zarządu, paraliż decyzyjny spółki, brak zarządu w spółce, kto reprezentuje spółkę, kurator dla spółki, kurator sądowy spółki, jak powołać kuratora spółki, ile kosztuje kurator dla spółki, KRS reprezentacja, blokada konta spółki, co dzieje się ze spółką z o.o. po śmierci zarządu, co robić gdy spółka nie ma zarządu, zarządzanie ryzykiem w firmie, plan ciągłości działania, business continuity, ciągłość działania w MŚP, plan ciągłości działania w firmie, ryzyka operacyjne firm rodzinnych, ubezpieczenie key person, prokura, prokurent, prokura samoistna, prokura łączna, jak działa prokura, czy prokura wygasa po śmierci zarządu, zabezpieczenie firmy po śmierci właściciela, jak zabezpieczyć firmę po nagłej śmierci właściciela, jak przygotować sukcesję w firmie, sukcesja kapitałowa i korporacyjna, umowa spółki sukcesja, postępowanie spadkowe wspólnika, blokada rachunku firmowego, reprezentacja spółki po śmierci zarządu
Przemysł
Firmy w Polsce

Duńska "Nocna Straż"

Jak globalna polityka i nieprzewidywalność zmuszają dyplomację do innowacji i adaptacji.
Czytaj dalej
Artykuł

Duńska "Nocna Straż"

Geopolityka a biznes
Zarządzanie kryzysowe
grenlandia, usa, komunikacja kryzysowa, zarządzanie ryzykiem, dania, Dyplomacja, StosunkiMiędzynarodowe, politykaZagraniczna, Adaptacja, ZarządzanieKryzysowe
Administracja publiczna
Przejdź do wszystkich wpisów