Классический подход — заполнение анкет и галочки в чек-листах — больше не работает. Современные Supply Chain Risk Management (C-SCRM) требует Evidence-based подхода, когда каждый поставщик оценивается по важности его продукта, текущим киберугрозам и реальному уровню зрелости ИБ, а не по официальным бумагам.
Компании добавляют новые этапы проверки: анализ финансовой устойчивости поставщика, поиск утечек его данных в даркнете, тестирование фактических процессов безопасности, анализ истории инцидентов. Интеграция сторонних сервисов требует мониторинга в реальном времени — традиционный аудит раз в год уже не обеспечивает необходимый уровень защиты.
Прогнозы экспертов указывают, что стоимость атак на цепочку поставок может достичь 138 млрд долларов в год к 2031 году, по сравнению с 60 млрд долларов в 2025 году. Для российских организаций это означает неизбежность внедрения SBOM (Software Bill of Materials), SCA (Software Composition Analysis) и непрерывного мониторинга зависимостей.