При этом доля инцидентов, которые сразу приводили к остановке сервиса или явной недоступности приложения, за год сократилась с 26% до 19%. Злоумышленники реже действуют через внешний взлом и чаще используют легитимные токены, штатные механизмы развертывания и доступ подрядчика к облачным контурам. Такая модель позволяет дольше оставаться внутри нормального технологического процесса и смещает момент обнаружения на более поздний этап, когда компрометация уже затронула данные, код или производственный контур.
На ранней стадии атака нередко выглядит как обычный случай несанкционированного доступа, утечки учетных данных или ошибки конфигурации в облаке. Компрометация цепочки поставок становится очевидной позже, когда выясняется, что злоумышленник использовал зависимость, артефакт сборки, плагин среды разработки или сервисный аккаунт интегратора. По оценке экспертов, в начале 2026 года до 27% расследованных инцидентов с облачным компонентом первоначально относились к другой категории и только после технического разбора были переквалифицированы как атаки на цепочку поставок.
По оценке специалистов рост этой категории атак связан с несколькими процессами. Компании расширяют облачные контуры разработки и эксплуатации, увеличивают число внешних интеграций и сокращают цикл выпуска изменений. В результате в продуктивную среду попадает все больше сторонних компонентов, а вместе с ними и сервисные аккаунты с избыточными правами, внешние контейнерные образы, автоматизированные пайплайны и пакеты из открытых репозиториев. Дополнительную нагрузку создает утечка информации в публичный код, в том числе ключей доступа к облачным сервисам и инструментам разработки. Отдельный риск формируют атаки типа typosquatting и slopsquatting. Злоумышленники публикуют библиотеки с названиями, похожими на реальные, рассчитывая на ошибку разработчика при установке, либо используют некорректные рекомендации AI-инструментов, которые могут предложить несуществующий или небезопасный пакет. Риск усиливают ошибки в настройке облачных хранилищ, недостаточный контроль над тем, из каких источников в сборку попадают компоненты и обновления, а также автоматизация атак, позволяющая быстро распространять вредоносные пакеты и встраивать их в процессы разработки.
По наблюдениям экспертов «Информзащиты», в части облачного вектора лидирует ИТ и телеком – 31% инцидентов: риск выше из-за плотной работы с репозиториями, контейнерными средами и внешними библиотеками. На втором месте финансовый сектор – 22%: значимую роль играют интеграции с платежными, аналитическими и клиентскими сервисами. Промышленность и энергетика формируют 19% инцидентов – атака здесь чаще всего развивается через доступ подрядчика к облачным контурам управления. Ритейл и e-commerce занимают 15%: уязвимость растет по мере увеличения числа API-связей с маркетплейсами, системами лояльности и логистическими платформами. На транспорт и логистику приходится 9%, прочие отрасли – 4%.
«Проблема не сводится к одной уязвимости или одному подрядчику. Компания может достаточно жестко контролировать собственную инфраструктуру, но при этом сохранять широкое доверие к сервисным учетным записям и внешним библиотекам. Именно в этой зоне сейчас формируется основной риск. Злоумышленник встраивается в штатную цепочку поставки кода или сервиса и использует ее как канал доступа», — отмечает Анатолий Песковский, руководитель направления анализа защищенности IZ:SOC «Информзащиты».
Минимизировать такие риски можно только при системной работе с самой цепочкой поставок и всеми связанными с ней облачными процессами. Для этого компаниям необходимо контролировать состав внешних библиотек, контейнерных образов и SaaS-интеграций, проверять источники компонентов, ограничивать права сервисных учетных записей и регулярно ротировать ключи доступа. Отдельное внимание требуется защите CI/CD-пайплайнов, облачных хранилищ и репозиториев, где даже единичная ошибка в конфигурации или избыточное доверие к стороннему компоненту может стать точкой входа. По оценке экспертов «Информзащиты», при сохранении текущей динамики к концу 2026 года доля атак на цепочки поставок через облако может вырасти до 41% всех инцидентов с участием третьих сторон. Для бизнеса это означает, что защита собственной инфраструктуры должна сочетаться с постоянным контролем внешних связей – тех каналов, через которые в нее поступают код, обновления и доступ.