Поделиться
Эксперты компании «Инфосистемы джет» провели исследование о кибератаках через сторонние организации
Эксперты компании «Инфосистемы джет» провели исследование, посвященное анализу проблем и рисков, связанных с атаками через сторонние организации, когда злоумышленники атакуют целевую компанию не напрямую, а через ее доверенных партнеров, поставщиков или подрядчиков. Такие атаки также называют «эксплуатацией доверия» и «атаками на цепочку поставок». Об этом CNews сообщили представители компании «Инфосистемы джет».
Основные выводы исследования
Риск эксплуатации доверия входит в топ-5 наиболее критичных и вероятных среди других типов операционных рисков за последние три года, а рост количества атак на цепочки поставок, по разным источникам, составляет от 300% и более.
Растущее влияние подобных атак на бизнес доказывают публичные случаи последних лет: инциденты, когда злоумышленники сначала взламывают инфраструктуру поставщика, а затем продвигаются далее для получения доступа к данным более крупной компании, приводят к простоям систем, денежным потерям и ущербу для репутации последних. Так, весной 2023 г. по вине подрядчика, ответственного за разработку нового сайта компании «ИнфоТеКС», в сеть попали архивы с 60912 учетными записями пользователей, а в конце 2022 г. из-за кибератаки на стороннего поставщика ИТ-услуг (компанию «Supeo») на несколько часов была остановлена государственная железная дорога в Дании.
По наблюдениям аналитиков «Инфосистемы джет», мероприятия по оценке поставщика по линии ИБ проводят менее 10% компаний, несмотря на возросшее внимание к вопросам информационной безопасности.
Хотя расходы компаний на информационную безопасность существенно растут, в основном средства вкладываются в защиту периметра и мониторинг ИБ. Исследование показывает, что риски, связанные с атаками на поставщиков, в большинстве случаев оказываются вне фокуса внимания, что приводит к многочисленным случаям взломов через подрядчиков. За последнее время публичными стали десятки крупных инцидентов. Обычно подобные проблемы компании стараются не афишировать, поэтому реальное количество таких случаев гораздо выше.
Основные цифры
80% компаний используют такие же защитные меры в отношении подрядчиков и поставщиков услуг, как и в отношении удаленных работников компании. Лишь 20% компаний определяют набор защитных мер исходя из специфики взаимодействия и профиля риска поставщика.
Менее 10% компаний проводят мероприятия по оценке уровня информационной безопасности поставщика услуг. Оценка проводится в основном с использованием опросных листов и часто носит формальный характер — не влияет на дальнейшее решение о выборе поставщика или архитектуры подключения к ресурсам компании.
38% компаний для обмена большими файлами со сторонними компаниями используют внешние бесплатные сервисы. При этом сотрудник – инициатор обмена, как правило, самостоятельно определяет требования к безопасности, руководствуясь принципами скорости и удобства.
Основные риски при работе с подрядчиками
В цикле взаимодействия с подрядчиками компания проходит три ключевых этапа: инициализация взаимодействия; управление взаимоотношением; прекращение работы.
Эксперты компании «Инфосистемы джет» проанализировали самые часто встречающиеся риски, возникающие на каждом из этапов.
На этапе инициализации взаимодействия подавляющее большинство компаний рассматривает киберриски взаимодействия с поставщиками в совокупности с другими рисками без детализации. При этом часть опрошенных (15%) вовсе не считает такую оценку необходимой.
Детальная проработка киберрисков, связанных с поставщиками, осуществляется в основном крупными компаниями и госсектором.
Процедуры взаимодействия с поставщиками у большинства респондентов формализованы в виде элементарных требований по безопасной передаче информации. Как отмечает 61% опрошенных, киберриски поставщика оцениваются только с помощью проверки по линии службы безопасности, реже — в 15% случаев — с использованием опросников с формальными критериями.
На этапе управления взаимоотношениями с поставщиком (то есть непосредственно во время совместной работы), согласно результатам исследования, в 80% компаний применяются те же защитные меры в отношении подрядчиков, что и в отношении собственных сотрудников, работающих удаленно. Только в 20% случаев набор защитных мер определялся исходя из специфики взаимодействия и профиля поставщика.
Только 5% компаний, использующих сервисы по выявлению цифровых рисков, помимо своего периметра, анализируют внешних поставщиков. Реагирование на атаки со стороны поставщиков услуг в 90% компаний осуществляется по общим схемам.
В 38% компаний для обмена большими файлами с внешними подрядчиками используются внешние бесплатные сервисы. При этом сотрудник, инициировавший обмен, как правило, самостоятельно определяет требования к безопасности сервиса, ориентируясь на свое удобство и скорость процессов.
На этапе прекращения работы, согласно результатам опроса, подавляющее число компаний не проводит оценку влияния ИТ-поставщиков на непрерывность деятельности организации. В случае инцидента, связанного с поставщиком, только 18% опрошенных компаний смогут оперативно предпринять действия по восстановлению согласно планам обеспечения непрерывности процесса работы.
«Чаще всего в компаниях информационная безопасность строится по модели Castle and Moat, когда после входа в систему пользователь может свободно перемещаться и получать доступ к информации без дополнительной проверки. Фокус на защите периметра относительно эффективен против внешнего злоумышленника, однако после успешного взлома подрядчика в такой инфраструктуре атакующий имеет полный "карт-бланш"», — сказал Александр Морковчин, начальник отдела развития консалтинга по информационной безопасности «Инфосистемы джет».
***
Исследование подготовлено на основе собственной аналитики центра информационной безопасности: по данным, полученным в ходе реализации проектов по аудиту информационной безопасности, по результатам работы группы мониторинга внешних цифровых рисков, а также по результатам опросов ключевых заказчиков компании и внешних опросов профильной аудитории. В опросе приняли участие представители крупного бизнеса, малые и средние предприятия и компании государственного сектора.
«Инфосистемы джет» — российская ИТ-компания в России. С 1991 го.работает на рынке системной интеграции, реализуя ежегодно более 1000 проектов. Штат — более 2000 сотрудников. Компания располагает несколькими офисами и представительствами в России. №2 среди крупнейших интеграторов в сфере защиты информации (CNews Analytics, 2022г.).
Ключевые направления деятельности: ИТ-инфраструктура, сети и инженерные системы, ИТ-аутсорсинг, информационная безопасность, машинное обучение, заказная разработка ПО, внедрение и сопровождение бизнес-приложений enterprise-уровня, промышленная безопасность и IoT.
Короткая ссылка
