Спецпроекты

ПО Безопасность

Российские компании под риском кибератак. Больше половины ИТ-подрядчиков не соблюдают базовые правила безопасности

Даже те компании, которые серьезно вкладываются в кибербезопасность, рискуют быть атакованным из-за уязвимости своих ИТ-подрядчиков, большая часть которых, как выяснило исследование, имеют низкий уровень защиты.

Низкий уровень кибербезопасности

Более половины ИТ-поставщиков в России имеют низкий уровень кибербезопасности и пренебрегают базовыми мерами по защите от кибератак, сообщили CNews представители Cicada8 о результатах исследования более 60 тыс. российских компаний.

«Несмотря на то, что число инцидентов, связанных с атаками через подрядчиков, неуклонно растет, многие организации еще не принимают мер по контролю защищенности своих поставщиков в сфере ИТ. Это приводит к тому, что компании, вкладывающие серьезные средства в защиту собственной инфраструктуры, остаются уязвимыми для взломов из-за того, что их поставщики не относятся к вопросам кибербезопасности столь же серьезно», — сказал Сергей Колесников, директор продуктового портфеля и сервисов компании Cicada8.

Компании, выступающих в качестве контрагентов и подрядчиков были проанализированы с помощью платформы Cicada8 CyberRating, формирующей рейтинг организаций по трем критериям: наличие уязвимостей на ИТ-периметре (Vulnerability Rating), репутация активов, расположенных на внешнем периметре (Network Rating), и выявление утекших баз данных, ассоциированных с данной компанией (Leaks Rating).

Результаты исследования

На текущий момент большинство подрядчиков очень слабо защищены, а их ИТ-периметр содержит ряд уязвимостей и некорректных настроек, которые предоставляют злоумышленникам широкие возможности для проведения кибератак, отметили исследователи.

ИТ-подрядчики в России игнорируют базовые правила кибербезопасности

Выяснилось, что у 55% компаний-поставщиков открыт для доступа из интернета, как минимум, один из управляющих портов. Хакеры используют это для кражи данных заказчиков, а при наличии сетевой связанности и для проникновения в их ИТ-инфраструктуры.

На внешнем периметре 32% компаний-контрагентов обнаружены критические уязвимости, несмотря на то, что для них уже существуют патчи (исправления, позволяющие устранить риски взлома). У этих компаний отсутствует процесс управления уязвимостями на ИТ-периметре, а ИТ-системы не обновляются годами, делают вывод исследователи.

В опубликованных на теневых форумах базах утечек эксперты обнаружили данные корпоративных учетных записей 27% проверенных контрагентов, причем «возраст» записей дает основания предполагать, что они до сих пор являются действующими. То есть злоумышленники могут, например, отправить фишинговую рассылку с официального адреса компании-партнера.

Угроза от подрядчиков

По данным RED Security SOC, в 2024 г. число атак через подрядчиков выросло в три раза год к году. Эта техника получения первоначального доступа в ИТ-инфраструктуры компаний-жертв впервые заняла шестое место по популярности у киберпреступников.

По итогам 2023 г., как писал CNews в апреле 2024 г., «Лаборатория Касперского» в ежегодном отчете включила атаки через подрядчиков в тройку наиболее часто используемых начальных векторов. Их доля выросла выросла за год и составила 7%. Они часто относятся к сегменту малого и среднего бизнеса.

Для обнаружения подобных инцидентов требуется больше времени, так как для пострадавшей организации действия атакующих часто выглядят очень похожими на легитимные действия сотрудников подрядной организации, пояснили тогда аналитики.

Нужны единые требования

Малый и средний бизнес часто ограничен в бюджете и экспертизе. Чтобы ситуация изменилась, нужны не только внутренние стандарты корпораций, но и отраслевые методики оценки поставщиков, а также государственные стимулы, сказал «Ведомостям» технический директор компании «Спикател» Евгений Пудовкин. По его словам, сейчас есть только отдельные регуляторные инициативы в КИИ и госсекторе, где обязательны аттестации или аудит.

Стимулировать рынок можно с помощью закрепления обязательных требований к кибербезопасности подрядчиков законодательно, а не только в рекомендательных документах, считает директор департамента компании T.Hunter Игорь Бедеров. Так как единая обязательная система проверки «профпригодности» подрядчиков на законодательном уровне отсутствует, требования зачастую носят фрагментарный характер и зависят от воли заказчика, отметил он.

Анна Любавина

Короткая ссылка