Эксперты компании «Инфосистемы Джет» провели исследование о кибератаках через сторонние организации

Новости по теме

Эксперты компании «Инфосистемы Джет» провели исследование, посвященное анализу проблем и рисков, связанных с атаками через сторонние организации, когда злоумышленники атакуют целевую компанию не напрямую, а через ее доверенных партнеров, поставщиков или подрядчиков. Такие атаки также называют «эксплуатацией доверия» и «атаками на цепочку поставок». В релизе представлены основные цифры и выводы из исследования. Полная версия опубликована на сайте.

Основные выводы исследования

Риск эксплуатации доверия входит в ТОП-5 наиболее критичных и вероятных среди других типов операционных рисков за последние три года, а рост количества атак на цепочки поставок, по разным источникам, составляет от 300% и более[1].

Растущее влияние подобных атак на бизнес доказывают публичные случаи последних лет: инциденты, когда злоумышленники сначала взламывают инфраструктуру поставщика, а затем продвигаются далее для получения доступа к данным более крупной компании, приводят к простоям систем, денежным потерям и ущербу для репутации последних. Так, весной 2023 года по вине подрядчика, ответственного за разработку нового сайта компании «ИнфоТеКС», в сеть попали архивы с 60 912 учетными записями пользователей, а в конце 2022 года из-за кибератаки на стороннего поставщика ИТ-услуг (компанию «Supeo») на несколько часов была остановлена государственная железная дорога в Дании.

По наблюдениям аналитиков «Инфосистемы Джет», мероприятия по оценке поставщика по линии ИБ проводят менее 10% компаний, несмотря на возросшее внимание к вопросам информационной безопасности.

Хотя расходы компаний на информационную безопасность существенно растут, в основном средства вкладываются в защиту периметра и мониторинг ИБ. Исследование показывает, что риски, связанные с атаками на поставщиков, в большинстве случаев оказываются вне фокуса внимания, что приводит к многочисленным случаям взломов через подрядчиков. За последнее время публичными стали десятки крупных инцидентов. Обычно подобные проблемы компании стараются не афишировать, поэтому реальное количество таких случаев гораздо выше.

Основные цифры

  • 80% компаний используют такие же защитные меры в отношении подрядчиков и поставщиков услуг, как и в отношении удаленных работников компании.

  • Лишь 20% компаний определяют набор защитных мер исходя из специфики взаимодействия и профиля риска поставщика.

  • Менее 10% компаний проводят мероприятия по оценке уровня информационной безопасности поставщика услуг. Оценка проводится в основном с использованием опросных листов и часто носит формальный характер — не влияет на дальнейшее решение о выборе поставщика или архитектуры подключения к ресурсам компании.

  • 38% компаний для обмена большими файлами со сторонними компаниями используют внешние бесплатные сервисы. При этом сотрудник – инициатор обмена, как правило, самостоятельно определяет требования к безопасности, руководствуясь принципами скорости и удобства.

Основные риски при работе с подрядчиками

В цикле взаимодействия с подрядчиками компания проходит три ключевых этапа:

  • Инициализация взаимодействия

  • Управление взаимоотношением

  • Прекращение работы

Эксперты компании «Инфосистемы Джет» проанализировали самые часто встречающиеся риски, возникающие на каждом из этапов.

На этапе инициализации взаимодействия подавляющее большинство компаний рассматривает киберриски взаимодействия с поставщиками в совокупности с другими рисками без детализации. При этом часть опрошенных (15%) вовсе не считает такую оценку необходимой.

Детальная проработка киберрисков, связанных с поставщиками, осуществляется в основном крупными компаниями и госсектором.

Процедуры взаимодействия с поставщиками у большинства респондентов формализованы в виде элементарных требований по безопасной передаче информации. Как отмечает 61% опрошенных, киберриски поставщика оцениваются только с помощью проверки по линии службы безопасности, реже — в 15% случаев — с использованием опросников с формальными критериями.

На этапе управления взаимоотношениями с поставщиком (то есть непосредственно во время совместной работы), согласно результатам исследования, в 80% компаний применяются те же защитные меры в отношении подрядчиков, что и в отношении собственных сотрудников, работающих удаленно. Только в 20% случаев набор защитных мер определялся исходя из специфики взаимодействия и профиля поставщика.

Только 5% компаний, использующих сервисы по выявлению цифровых рисков, помимо своего периметра, анализируют внешних поставщиков. Реагирование на атаки со стороны поставщиков услуг в 90% компаний осуществляется по общим схемам.

В 38% компаний для обмена большими файлами с внешними подрядчиками используются внешние бесплатные сервисы. При этом сотрудник, инициировавший обмен, как правило, самостоятельно определяет требования к безопасности сервиса, ориентируясь на свое удобство и скорость процессов.

На этапе прекращения работы, согласно результатам опроса, подавляющее число компаний не проводит оценку влияния ИТ-поставщиков на непрерывность деятельности организации. В случае инцидента, связанного с поставщиком, только 18% опрошенных компаний смогут оперативно предпринять действия по восстановлению согласно планам обеспечения непрерывности процесса работы.

«Чаще всего в компаниях информационная безопасность строится по модели "Castle and Moat", когда после входа в систему пользователь может свободно перемещаться и получать доступ к информации без дополнительной проверки. Фокус на защите периметра относительно эффективен против внешнего злоумышленника, однако после успешного взлома подрядчика в такой инфраструктуре атакующий имеет полный "карт-бланш"», — комментирует Александр Морковчин, начальник отдела развития консалтинга по информационной безопасности «Инфосистемы Джет».

Об исследовании

Исследование подготовлено на основе собственной аналитики центра информационной безопасности: по данным, полученным в ходе реализации проектов по аудиту информационной безопасности, по результатам работы группы мониторинга внешних цифровых рисков, а также по результатам опросов ключевых заказчиков компании и внешних опросов профильной аудитории. В опросе приняли участие представители крупного бизнеса, малые и средние предприятия и компании государственного сектора.


[1] Software Supply Chain Attacks: 2021 in Review,Aqua. CrowdStrike’s Global Security Attitude Survey, 2021



Следите за нашими новостями!

Будь в курсе самых актуальных событий в мире ИТ Подписаться
mediator

Читайте также:

Журнал JETINFO

В основе материалов журнала — реальный опыт и обширные знания экспертов отрасли — специалистов компании «Инфосистемы Джет», ее заказчиков и партнеров.

Подробнее

Подпишитесь на рассылку

Согласен получать информационно-рекламные письма компании "Инфосистемы Джет"

Сайт использует файлы cookies. Продолжая использование настоящего сайта, вы выражаете своё согласие на использование файлов cookies в соответствии с Политикой обработки персональных данных. В случае несогласия с обработкой ваших персональных данных вы можете отключить сохранение cookie в параметрах настройки вашего браузера.


Читать полностью