Supply Chain Cybersecurity đang nổi lên như rủi ro hệ sinh thái hàng đầu mà các tổ chức phải đối mặt trong năm 2025. Giữa bối cảnh môi trường nhà cung cấp ngày càng phức tạp, thiếu minh bạch và căng thẳng địa chính trị gia tăng, việc quản lý các bên thứ ba và phụ thuộc phần mềm đã trở thành trung tâm của chiến lược cyber resilience cho doanh nghiệp.

1. Bức tranh mối đe dọa mới nổi

1.1 Hạn chế trong khả năng quan sát chuỗi cung ứng phần mềm

Chỉ từ 23–40% tổ chức báo cáo có khả năng quan sát tốt chuỗi cung ứng phần mềm của họ. Những tổ chức có mức độ quan sát thấp phải đối mặt với tỷ lệ vi phạm lên tới 80%. 

1.2 Gia tăng tấn công vào chuỗi cung ứng phần mềm

Các mối đe dọa như malicious open-source dependencies và tampered CI/CD pipelines hiện chiếm 45% tổng số vụ tấn công chuỗi cung ứng. Chi phí xử lý các sự cố này cao hơn khoảng 40% so với các vụ vi phạm nội bộ truyền thống 

2. Tập trung rủi ro ở các nhà cung cấp bên thứ ba

Một nhóm nhỏ nhà cung cấp bên thứ ba hiện đang hỗ trợ phần lớn hạ tầng thiết yếu toàn cầu. Khi các “điểm nghẽn” này bị tấn công, hệ quả có thể lan rộng gây gián đoạn nhiều lĩnh vực. Đáng chú ý, số vụ vi phạm có liên quan đến bên thứ ba đã gần tăng gấp đôi, hiện chiếm khoảng 30% tổng sự cố mạng. 88% CISO xếp rủi ro chuỗi cung ứng vào nhóm mối quan tâm hàng đầu. 

3. Mối đe dọa địa chính trị nhắm vào chuỗi cung ứng

Các chiến dịch tấn công mạng do quốc gia bảo trợ ngày càng hướng tới chuỗi cung ứng. Gần đây, các nhóm liên kết với Trung Quốc đã tấn công ngành công nghiệp bán dẫn của Đài Loan và các nhà cung cấp logistics hỗ trợ Ukraine. Phương thức tấn công phổ biến gồm spear-phishing và remote access malware nhằm xâm nhập mạng lưới của nhà cung cấp. 

4. Phương thức tấn công tăng cường bằng AI

Tội phạm mạng tận dụng generative AI để tạo nội dung deepfake phishing, tự động hóa malware, và xây dựng các chiến dịch social engineering siêu thực, nhắm vào nhà cung cấp và kênh mua sắm.

5. Xu hướng chính trong quản trị rủi ro chuỗi cung ứng (2025)

5.1 Chuyển sang giám sát liên tục, thời gian thực

Doanh nghiệp đang thay thế đánh giá nhà cung cấp định kỳ bằng các giải pháp giám sát liên tục, cho phép đánh giá tức thời các lỗ hổng và bất thường của nhà cung cấp. 77% tổ chức đã sử dụng công cụ giám sát tự động, và 60% triển khai phần mềm third-party risk management.

5.2 SBOM trở thành tài sản vận hành

Software Bill of Materials (SBOM) đang chuyển từ yêu cầu tuân thủ sang công cụ vận hành thực tế, giúp nhận diện nhanh các thành phần bị ảnh hưởng trong các sự cố zero-day hoặc xâm phạm chuỗi cung ứng. Các quy định như EU Cyber Resilience Act, lệnh liên bang Hoa Kỳ và NIS2/DORA đang thúc đẩy việc áp dụng SBOM.

5.3 Mở rộng Zero Trust cho nhà cung cấp

Doanh nghiệp áp dụng Zero Trust Architecture (ZTA) cho hệ thống bên thứ ba, bao gồm xác thực danh tính, đánh giá tình trạng thiết bị và kiểm soát truy cập dựa trên hành vi.

5.4 Phòng thủ và tự động hóa bằng AI

Các giải pháp phòng thủ dùng AI – như XDR, phân tích dự đoán và tự động cô lập mối đe dọa – đang được triển khai rộng rãi, giúp mô hình hóa mối đe dọa và ra quyết định theo thời gian thực.

5.5 Áp lực quy định gia tăng

Các khung pháp lý như EU Cyber Resilience Act (hiệu lực 2027), NIS2 và DORA đang yêu cầu nghiêm ngặt hơn về bảo mật bên thứ ba, báo cáo sự cố trong 24 giờ và lưu trữ tài liệu lâu dài. Tuy nhiên, 76% CISO cho rằng sự phân mảnh quy định giữa các khu vực là thách thức lớn về quản trị.

6. Khuyến nghị chiến lược cho năm 2025

• Tích hợp rủi ro mạng vào GRC doanh nghiệp: Liên kết đội ngũ pháp lý, điều hành, quản trị rủi ro và CNTT xung quanh chính sách nhà cung cấp, SBOM và báo cáo rủi ro chiến lược.
  
• Đầu tư vào Continuous Exposure Management (CEM): Triển khai nền tảng CEM để mô phỏng đường tấn công, ưu tiên khắc phục và giám sát liên tục trong hệ sinh thái bên thứ ba.
  
• Yêu cầu SBOM và bảo mật DevSecOps: Tất cả nhà cung cấp cần tạo bản build phần mềm có chữ ký, quét tự động dependencies và cung cấp SBOM được xác thực cho mỗi bản phát hành.
  
• Áp dụng Zero-Trust Access cho bên thứ ba: Thực hiện phân tách hệ thống, chính sách quyền hạn tối thiểu và kiểm soát truy cập dựa trên tình trạng thiết bị.
  
• Tận dụng AI và tự động hóa quy mô lớn: Ứng dụng AI để phát hiện mối đe dọa nhanh hơn, tự động vá lỗi, quản lý vòng đời credentials, phát hiện bất thường và xử lý sự cố.
  
• Nâng cao khả năng quan sát chuỗi cung ứng: Kết hợp dữ liệu từ IoT, nền tảng đánh giá rủi ro bên thứ ba và tình báo mối đe dọa thời gian thực.
  
• Chuẩn bị cho yêu cầu tuân thủ: Chủ động đáp ứng NIS2, DORA, EU Cyber Resilience Act và các luật quốc gia như UK Cyber Security and Resilience Bill.

Kết luận

Năm 2025 đánh dấu sự chuyển dịch mạnh mẽ của Supply Chain Cybersecurity từ một khía cạnh hỗ trợ sang vai trò then chốt trong bảo vệ tổ chức. Việc tăng cường khả năng quan sát, áp dụng công nghệ AI, mở rộng Zero Trust và tuân thủ các quy định mới sẽ là nền tảng giúp doanh nghiệp duy trì cyber resilience trước bối cảnh đe dọa ngày càng tinh vi và đa dạng.

Thông tin hãng cung cấp giải pháp:

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Sling, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks ….

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!