На страже информационной безопасности
Такой вывод сделали руководители крупных российских компаний в рамках круглого стола "Атаки на цепочку поставок: доверие к сервисам и технологиям в новом мире" на ежегодном фестивале Positive Hack Days. Эксперты обсудили отраслевую специфику подобных атак, критически опасные и недопустимые для своих организаций последствия, оценили риски взаимодействия с поставщиками и перспективы результативной защиты.
Участники круглого стола отметили важность принятия мер по обеспечению безопасности в экосистеме современного интернета, а также необходимость активного сотрудничества и обмена опытом между компаниями. По их мнению, это поможет сделать цифровой мир более защищенным и надежным для всех пользователей.
Директор экспертного центра безопасности Positive Technologies Алексей Новиков рассказал о самом уязвимом звене для хакеров в цепочке поставок: "В 2021 г. наиболее опасные атаки были на ИТ-подрядчиков. Это компании-интеграторы и компании, которые оказывают ИТ-услуги. Во-первых, злоумышленники очень быстро разобрались, что, получив доступ к одной ИТ-компании, в результате можно получить колоссальное количество доступов в другие. А во вторых, если мы говорим об интеграторах, можно получить сведения о том, как устроена информационная безопасность в тех компаниях, которые они обслуживают. Это наиболее серьезный вектор, потому что чаще всего мы наблюдаем следующую картину: подрядчик выигрывает конкурс, дальше происходит подписание документов, в которых написано, что подрядчик должен выполнять требования по информационной безопасности, и после этого все считают, что у нас все под контролем. На самом деле это не так, и атаки на подрядчиков очень актуальны. В 2021 г. было большое количество кейсов, когда доступ в крупные компании получали именно через подрядчиков".
По словам технического директора "СДЭК" Павла Куликова, число инцидентов будет расти еще и потому, что IоT-сегмент (интернет вещей), который интегрируется с аппаратным и программным обеспечением, находится на стадии интенсивного развития.
Эксперты поделились своим видением последствий атак на сторонних поставщиков, которые могут оказаться недопустимыми для их организаций. Среди критически опасных они выделяют имиджевые последствия. Директор по кибербезопасности медиахолдинга Rambler&Co Евгений Руденко отметил, что для снижения риска нужна поддержка со стороны государства и больших игроков рынка. "Необходимо сформировать общие стандарты и сформулировать пул стандартизированных требований зрелости кибербезопасности, которые компании могли бы соблюдать. Например, при принятии решения о сотрудничестве с той или иной организацией можно будет запросить документы и убедиться, что поставщик соблюдает единые требования рынка. Интернет-среда должна регулироваться с точки зрения кибербезопасности. Пока для проверки уровня зрелости информационной безопасности у нас нет ни законодательной базы, ни ресурсов", - прокомментировал Евгений Руденко.
Директор по информационной безопасности компании Ozon Кирилл Мякишев обратил внимание на обучение кадров: "Любому крупному бизнесу нельзя фокусироваться исключительно на защите критической инфраструктуры, так как доступ к данным можно получить и иными способами, например через подрядчиков. Очень важно обучать сотрудников, клиентов и партнеров базовым правилам информационной безопасности. Люди должны понимать возможные риски и знать основные меры предосторожности, что позволит им не попасться на уловки мошенников".
Директор по информационной безопасности VK Алексей Волков уверен, что для снижения риска хакерской атаки нужно придерживаться концепции нулевого доверия (0-trust). "Самым эффективным способом обеспечения безопасности является одинаковый контроль всех поставщиков и контрагентов компании, изначальное недоверие к каждому звену цепочки. 0-trust должна заработать как концепция, которая поможет обеспечить баланс между интересами безопасности и бизнеса", - подытожил Алексей Волков.
Рустэм Хайретдинов, заместитель генерального директора "Гарда Технологии" прокомментировал: "Атаки на цепочку поставок могут проводиться еще и с целью похищения данных, которые могут использоваться в дальнейшем для атак на подрядчиков с помощью социальной инженерии. Так, например, взломав систему CRM в интеграторе или производителе программного обеспечения, можно получить контакты лиц, принимающих решения по ИТ и ИБ, контакты инженеров заказчика, ведущих проекты, а значит, имеющих привилегированные доступы, номенклатуру СЗИ, которыми защищает свои данные заказчик и т.п. Более того, формально в момент взлома такие компании могут и не быть вашим подрядчиком, не иметь текущих заключённых договоров и действующих обязательств, то есть заставить их выполнять какие-то требования со стороны заказчика невозможно. Компании ИТ-отрасли не должны быть "сапожниками без сапог", оправдываясь тем, что сами они небольшие - они обладают достаточной информацией для взлома их больших клиентов".