Российские ИТ-компании отнеслись к подрядчикам с недоверием
Конференция "Территория Безопасности 2025". На фото (слева направо): директор по информационной безопасности ООО "Хофф Тех" (HoffTech) Андрей Шлегель, руководитель центра интеграции "МТС РЕД" Александр Колесников, директор департамента информационной безопасности ПАО "Московский кредитный банк" (МКБ) Вячеслав Касимов
Проблему слабой инфраструктуры компаний-подрядчиков и высокого риска хакерских атак на них подняли игроки российского рынка информационной безопасности (ИБ) на конференции "", организованной Информационной группой ComNews. Эксперты в сфере ИБ обсудили, как бороться с этой ситуацией и не ошибиться при выборе подрядчика.
"Подрядчики зачастую работают с несколькими заказчиками, соответственно, у них есть доступ к множеству информационных систем. При этом очень часто безопасность у подрядчиков слабая - бюджет на информационную безопасность минимальный или отсутствует вовсе. Поэтому хакеру проще взломать подрядчика и уже с полученными данными идти дальше на инфраструктуру заказчиков", - отметил технический директор ООО "Ребренди Консалтинг" (RebrandyCo) Алексей Томилов.
"Когда у компании несколько подрядчиков и кто-то из них обвалил сеть, возникает вопрос: "А как доказать, что это не ты обвалил сеть заказчика, а какой-то другой подрядчик?" Например, у нас был интересный опыт. Один из вендоров писал на своей стороне все действия на сети, которые проводил", - рассказал генеральный директор ООО "Вэб Контрол" (WebControl) Андрей Акинин.
Директор департамента информационной безопасности ПАО "Московский кредитный банк" (МКБ) Вячеслав Касимов рассказал о нулевом доверии к подрядчикам: "Одно дело, когда взаимодействуют сервис с сервисом или сервис с человеком, другое - когда предоставляется подрядчикам доступ в некую инфраструктуру. Пять компаний, являющихся нашими подрядчиками, были скомпрометированы в течение февраля-марта 2025 г. Поэтому доверия к подрядчикам нет никакого. А бизнесу не интересно жить в инфраструктуре, в которой его ждут неприятные приключения. Всем хочется стабильно в плановом режиме развиваться".
Директор по информационной безопасности ООО "Хофф Тех" (HoffTech) Андрей Шлегель рассказал о практике прохождения подрядчиками отбора по чек-листам: "Бизнесу важно, чтобы решения были эффективными и безопасными. Поэтому при выборе подрядчика мы оцениваем его по определенным чек-листам, исходя из которых делаем вывод о сотрудничестве с этим подрядчиком. Вторая составляющая - обеспечение безопасного доступа в нашу инфраструктуру, минимизация его привилегий в инфраструктуре. Да и в целом происходит минимизация возможностей подрядчика на случай, если он будет скомпрометирован, чтобы не допустить большого ущерба компании".
