כשתאגיד מוסר את תכניות הייצור שלו לספק חיצוני, הוא מוסר גם את גבולות ההגנה שלו. הפריצה לטאטא אלקטרוניקס — יצרנית אלקטרוניקה ומוליכים-למחצה הודית המספקת לאפל, טסלה, אינטל וקוואלקום — ממחישה זאת באופן ברור. קבוצת הכופרה World Leaks פרסמה מעל 204,300 קבצים במשקל כ- 630GB וביניהם נמצאו מפרטי ספקים של אפל ומסמכי ייצור של טסלה, חלקם מסומנים מפורשות כסוד מסחרי. טאטא אישרה את האירוע אך מסרה שזיהתה אותו לפני מספר שבועות ושהוא לא פגע בפעילותה — ניסוח זהיר שאינו מתמודד עם השאלה המהותית: מה דלף ולמי.
הסכנה כאן אינה השבתה תפעולית אלא דליפה שקטה ומתמשכת של קניין רוחני. חוקרי אבטחת מידע דיווחו שהמאגר כלל התכתבויות דוא"ל, מידע ממערכות SAP, יומני אירועים רב-שנתיים וסריקות דרכוני עובדים — כולל עובדים זרים. כל פריט כזה מעמיק את הנזק: מפרטי ייצור מסכנים יתרון תחרותי ויומני אירועים ופרטים אישיים מאפשרים תקיפות המשך ממוקדות. העובדה שטאטא מייצרת כשליש מהאייפונים בהודו הופכת אותה למטרה שבה פגיעה אחת מקרינה על כמה לקוחות-ענק בו-זמנית. דווח גם שהתוקפים הציבו דרישת כופר וכי אפל פתחה בחקירה עצמאית.
האירוע ממקד כמה סיכוני ליבה: ראשית, סיכון שרשרת אספקה — הארגון הנפגע אינו בעל המידע המקורי אלא מעבד שלו, כך שההגנה של אפל וטסלה תלויה בבקרות שאינן בשליטתן הישירה. שנית, ריכוז קניין רוחני אצל ספק יחיד מגדיל את "רדיוס הפיצוץ": פריצה בודדת חושפת נכסים של מספר ארגונים. שלישית, חשיפת מידע אישי של עובדים (דרכונים) פותחת וקטור למתקפות דיוג ולגניבת זהות. רביעית, סחיטה כפולה — גניבת מידע במקום (או לצד) הצפנתו — הופכת גיבויים לחסרי-ערך כמנגנון מיגון, שכן אי-אפשר לבטל דליפה.
ספק שירותי אבטחת מידע יכול לצמצם סיכונים אלו במספר מישורים: הערכות סיכון לספקים (Third-Party Risk Assessment) ובדיקות אבטחה תקופתיות של הספקים בשרשרת, כתנאי חוזי מתמשך ולא חד-פעמי; הקשחת בקרות גישה והפרדת רשתות אצל הספק, כך שדליפה אינה מתפשטת לכל המאגר; ניטור רציף וזיהוי חריגות (anomaly detection) שמקצר את זמן השהייה של תוקף ברשת — הגורם שקבע את היקף הנזק כאן; הצפנה והגנה על שכבות הנתונים עצמן ("identity-first, zero-trust"), כך שגניבת קובץ אינה שווה לגניבת המידע שבו; ותכנית תגובה לאירוע (IR) ערוכה מראש, הכוללת יידוע לקוחות ורגולטורים. עבור ארגון ישראלי, ספק שירותי אבטחת מידע גם יסייע ביישום חובות הדיווח לפי תיקון 13 לחוק הגנת הפרטיות — נקודה רלוונטית במיוחד כשמדובר בחשיפת מידע אישי של עובדים.
