Риски от поставщиков растут: как ИИ и сложные цепочки угрожают безопасности
Руководители по информационной безопасности в США отмечают рост рисков, связанных с инцидентами в цепочках поставщиков, особенно на удалённых уровнях, где прозрачность и контроль остаются недостаточными. В условиях усложнения экосистем и внедрения искусственного интеллекта компании всё чаще сталкиваются с необходимостью адаптировать процессы и инструменты для оценки и реагирования на угрозы, исходящие от сторонних партнёров.
По данным Helpnetsecurity, риски, связанные с внешними поставщиками, остаются одним из ключевых вызовов для руководителей по информационной безопасности (CISO) в США. В ходе опроса, проведённого компанией Panorays, было установлено, что инциденты, связанные с третьими сторонами, продолжают расти. При этом уровень осведомлённости и готовности к их предотвращению остаётся недостаточным.
Расширение экосистем поставщиков, увеличение длины цепочек поставок и внедрение искусственного интеллекта усиливают уязвимости. В результате, утечки данных и другие инциденты всё чаще происходят не в рамках непосредственных отношений, а в более удалённых звеньях, включая субподрядчиков и аффилированных компаниях.
Недостаточная прозрачность в глубине цепочек поставок
Прозрачность в отношении поставщиков третьего, четвёртого и более далёких уровней остаётся одной из главных проблем. Лишь небольшая часть организаций отслеживает все звенья своей экосистемы. Большинство ограничиваются видимостью только непосредственных контрагентов или узкого сегмента расширенной цепочки поставок.
Это ограничение затрудняет реагирование на инциденты, оценку рисков и планирование соответствия нормативным требованиям. Особенно сложно становится понять масштаб воздействия, когда утечка происходит на нескольких уровнях ниже, чем ожидается.
Растущее регулирование и недостаточная готовность
Уровень регулирования, связанного с рисками от сторонних поставщиков, растёт. Нормативные акты требуют от организаций демонстрации контроля над экосистемой поставщиков, включая косвенные отношения. Однако лишь небольшое число компаний считает себя полностью готовым к этим требованиям без значительных изменений в подходах.
Процесс адаптации включает выравнивание внутренних процессов, инструментов и координации между юридическими, закупочными комитетами по соответствию. CISO отмечают, что ожидания регуляторов становятся всё более жёсткими, особенно в случае инцидентов с участием поставщиков.
Трудности с инструментами и подходами к управлению рисками
Платформы управления рисками, соблюдения требований и контролем широко используются, но не всегда справляются с быстро меняющимися рисками в сложных цепочках поставок. Традиционные анкеты по безопасности поставщиков оцениваются как статичные и неадекватные для постоянного мониторинга.
С увеличением числа поставщиков, особенно в масштабах сотен и тысяч, ручные процессы становятся непосильной задачей для команд по безопасности. Вероятность пропуска новых рисков возрастает, что создаёт угрозу для всей экосистемы.
Влияние искусственного интеллекта на управление рисками
Внедрение ИИ меняет подходы к оценке рисков от поставщиков. CISO отмечают, что поставщики, работающие с ИИ, имеют уникальный профиль рисков, связанный с обработкой данных, ограниченной прозрачностью моделей и неопределённым поведением в автоматизированных системах.
Несмотря на это, большинство компаний продолжают использовать общие процессы для интеграции ИИ-поставщиков. Специализированные политики по их интеграции остаются редкостью, особенно среди небольших организаций.
Matan Or-El, генеральный директор Panorays, отмечает: «Рост популярности ИИ сделал цепочки поставок ещё более сложными. Системы, зависящие от данных, расширяют поверхность атак. CISO всё чаще видят ценность ИИ-инструментов для повышения прозрачности в быстро меняющейся среде угроз».
Роль ИИ в мониторинге и оценке рисков
Внедрение ИИ ускоряется и в самом управлении рисками от поставщиков. Организации используют ИИ-инструменты для поддержки оценок и мониторинга. Эти технологии снижают рутинную нагрузку на команды и позволяют сосредоточиться на более серьёзных угрозах, особенно в условиях роста числа поставщиков.
Однако лишь небольшое число компаний разработали комплексные и протестированные планы реагирования на инциденты с участием сторонних поставщиков. Большинство полагаются на ограниченные по масштабу сценарии или находятся в процессе их разработки.
CISO связывают этот пробел с увеличением времени на локализацию угроз и операционными сбоями в случае инцидентов. Хотя крупные компании демонстрируют более высокий уровень готовности, планирование реагирования остаётся неоднородным по размерам организаций.
Интересно: Осознают ли компании, что следующий масштабный киберинцидент, скорее всего, произойдёт в цифровых системах их субподрядчиков третьего или четвёртого уровня?
Риски в глубине: как цепочки поставок становятся новым фронтом для кибербезопасности
Растущее число поставщиков, расширение экосистем и внедрение искусственного интеллекта меняют ландшафт киберугроз. Руководители по информационной безопасности (CISO) всё чаще сталкиваются с инцидентами, происходящими не в рамках непосредственных контрактов, а в удалённых звеньях цепочек поставок. Это создаёт новые вызовы, которые требуют не только технических решений, но и системного изменения подходов к управлению рисками.
Когда угроза приходит из-за угла
Одной из ключевых проблем остаётся недостаточная прозрачность в глубине цепочек поставок. Организации часто видят только прямых поставщиков, игнорируя субподрядчиков и аффилированные компании. Это делает их уязвимыми к утечкам, которые происходят на уровнях, не подконтрольных непосредственно самой компании. Например, если поставщик использует стороннюю платформу для обработки данных, а та, в свою очередь, работает с ещё одним поставщиком, то утечка может произойти в самом конце цепочки, и её будет сложно локализовать.
В таких условиях традиционные методы оценки рисков, такие как анкетирование поставщиков, становятся недостаточными. Они не отслеживают динамику изменений в реальном времени и не учитывают масштабы современных экосистем. Это приводит к тому, что даже крупные компании рискуют не заметить угрозу, пока она не станет критической.
Важный нюанс: Дефицит компонентов, таких как DRAM-память, усилил давление на цепочки поставок, особенно в секторе искусственного интеллекта. Рост спроса на ИИ-инфраструктуру привёл к нестабильности на рынке памяти, что осложняет планирование и контроль над поставками [!]. Это делает ещё более актуальной необходимость глубокого мониторинга экосистемы поставщиков.
Регулирование становится жёстче, а готовность — ниже
С ростом числа инцидентов, связанных с поставщиками, регуляторы усиливают требования. Организации теперь должны не только знать своих поставщиков, но и доказать, что они контролируют всю экосистему, включая косвенных контрагентов. Однако лишь немногие компании готовы к таким требованиям без значительных изменений в процессах и инструментах.
Это создает напряжение между регуляторами и бизнесом. В ответ на жёсткие нормы компании вынуждены вкладывать ресурсы в автоматизацию и мониторинг, но многие делают это не системно. Вместо того чтобы создавать единую стратегию управления рисками, они реагируют на каждое новое требование отдельно, что снижает эффективность и увеличивает издержки.
Примером регуляторных рисков может служить ситуация с поставками чипов H200 NVIDIA в Китай. Компания требует полную предоплату из-за неоднозначности регуляторного статуса поставок, что делает условия сделки нестабильными. США ввели ограничения на экспорт таких чипов по соображениям национальной безопасности, но частично сняли запрет в обмен на увеличение роялти для NVIDIA. Это повышает риски для заказчиков, вынужденных учитывать как правовые, так и финансовые аспекты закупок [!].
ИИ как инструмент и как угроза
Внедрение искусственного интеллекта открывает новые возможности для управления рисками. ИИ-инструменты позволяют автоматизировать мониторинг, анализировать данные в реальном времени и выявлять аномалии, которые человек заметил бы слишком поздно. Это особенно важно в условиях, когда число поставщиков достигает сотен и тысяч.
Однако ИИ сам по себе становится источником новых рисков. Поставщики, работающие с ИИ, часто обрабатывают большие объёмы данных, и их модели могут быть недостаточно прозрачными. Это создаёт сложности для оценки рисков: невозможно точно предсказать, как модель будет вести себя в нестандартной ситуации. В результате компании вынуждены разрабатывать специализированные политики для интеграции ИИ-поставщиков, что пока делают лишь немногие.
Риски усиливаются, когда ИИ используется для создания дипфейков. Генеративные ИИ-платформы в сочетании с видео-генераторами позволяют создавать убедительный аудио- и видеоконтент, имитирующий высокопоставленных сотрудников. Это приводит к росту атак, основанных на имитации доверия, таких как фишинг от имени руководства и финансовые манипуляции. Эксперты предупреждают, что распространение Deepfake-as-a-Service на теневых рынках делает такие атаки доступными даже для начинающих хакеров [!].
Влияние на доверие и бизнес-процессы
Доверие к ИИ-системам становится важнейшим фактором их внедрения. Несмотря на техническое совершенство, многие компании сталкиваются с проблемой недоверия, что снижает эффективность автоматизации. Пилотные проекты часто не приносят ожидаемой пользы из-за несоответствия задачам бизнеса и отсутствия понимания, кто несёт ответственность за решения, принимаемые искусственным интеллектом [!].
Важный нюанс: Это подчеркивает необходимость не только технического контроля, но и организационного. Компании должны чётко определять цели внедрения ИИ, готовить команды и устанавливать механизмы ответственности. В противном случае автоматизация может привести к ошибкам, которые разрушают доверие и снижают прибыль.
Цепочки поставок: новые вызовы и стратегии
Дефицит компонентов, таких как чипы и память, уже влияет на стоимость готовой техники. Производители ноутбуков, например, вынуждены переходить к комплектации устройств 8 ГБ памяти вместо 32 ГБ, чтобы снизить давление на цепочки поставок. В условиях дефицита растут цены на модели с увеличенным объёмом памяти, что может привести к заметным скачкам стоимости в первом квартале 2026 года [!].
Рост спроса на ИИ-оборудование привёл к перераспределению ресурсов в цепочках поставок. Производители памяти, такие как Micron, сокращают выпуск потребительских продуктов в пользу более прибыльных решений для данных центров. Это вызвало рост цен на оперативную память более чем на 200% и дефицит NAND-чипов, что повлияло на доступность SSD и видеокарт [!].
Выводы
Рост ИИ-инфраструктуры и глобализация цепочек поставок усиливают уязвимости, которые требуют новых подходов к мониторингу, регулированию и доверию. Компании, которые не адаптируют свои стратегии, рискуют столкнуться с неожиданными последствиями, включая финансовые потери и утечки данных. В условиях роста регуляторных требований и угроз, связанных с ИИ, важно создавать комплексные планы реагирования и внедрять инструменты, способные отслеживать риски в глубине экосистемы.
Источник: helpnetsecurity.com
