Кибератаки через подрядчиков выросли в 3 раза — риски для бизнеса

По данным исследования, проведённого компанией Cicada8, более половины российских ИТ-подрядчиков имеют низкий уровень защиты от кибератак. Это создаёт серьёзный риск для компаний, которые заключают с ними контракты, даже если они сами активно инвестируют в защиту своей инфраструктуры. В ходе анализа были изучены более 60 000 организаций с помощью платформы Cicada8 CyberRating, которая оценивает уровень кибербезопасности по трём критериям: наличие уязвимостей на ИТ-периметре, репутация активов на внешнем периметре и информация о возможных утечках данных.

Рост кибератак через подрядчиков

По данным RED Security SOC, количество атак через ИТ-подрядчиков в 2024 году выросло в три раза по сравнению с предыдущим годом. Такой метод получения доступа к ИТ-инфраструктуре стал шестым по популярности среди киберпреступников. В 2023 году, как отмечалось в отчёте «Лаборатории Касперского», такие атаки вошли в тройку самых распространённых начальных векторов. Доля таких атак увеличилась до 7%, особенно в сегменте малого и среднего бизнеса.

Диагностировать такие инциденты затруднительно, поскольку действия злоумышленников могут выглядеть как законные действия сотрудников подрядчиков, что осложняет обнаружение угроз.

Результаты оценки кибербезопасности подрядчиков

Более 55% российских компаний-поставщиков, участвовавших в исследовании, имеют открытые управляющие порты, доступные из интернета. Это создаёт возможность для злоумышленников проникнуть в ИТ-инфраструктуру заказчика. У 32% анализируемых организаций на внешнем периметре были обнаружены критические уязвимости, несмотря на доступность исправлений. Многие из этих компаний не проводят регулярного обновления систем и не имеют чётко настроенных процессов по управлению уязвимостями.

Кроме того, в теневых источниках были найдены данные корпоративных учётных записей у 27% проверенных подрядчиков. Возраст этих записей указывает на то, что они могут быть действительными, что позволяет злоумышленникам использовать их для фишинговых атак или других форм мошенничества.

Предложения по улучшению кибербезопасности

Представители ИТ-индустрии подчёркивают, что для улучшения ситуации необходимы не только внутренние стандарты крупных компаний, но и отраслевые методики оценки поставщиков. По словам Евгения Пудовкина, технического директора компании «Спикател», малый и средний бизнес часто сталкивается с ограничениями по бюджету и квалификации, что мешает полноценному внедрению мер по защите.

Игорь Бедеров, директор департамента компании T. Hunter, предлагает закрепить обязательные требования к кибербезопасности подрядчиков на законодательном уровне, а не только в рекомендательных документах. Он отмечает, что в настоящее время отсутствует единая система проверки «профпригодности» подрядчиков, и требования зачастую зависят от инициативы заказчика.

Анализ современной ситуации в сфере кибербезопасности показывает, что рост угроз в этом направлении связан не столько с недостатками крупных компаний, сколько с недостаточной защищённостью их подрядчиков. Исследование, охватывающее более 60 000 организаций, выявило, что более 55% российских ИТ-подрядчиков имеют открытые управляющие порты, что потенциально позволяет злоумышленникам проникнуть в ИТ-инфраструктуру заказчика. Такие данные указывают на системную проблему: даже при значительных инвестициях в защиту собственной сети, компания остаётся уязвимой через слабые звенья в цепочке поставок.

Рост атак через подрядчиков в 2024 году составил в три раза по сравнению с 2023, что ставит этот метод на шестое место по популярности среди киберпреступников. При этом 32% проверенных организаций имеют критические уязвимости, несмотря на доступность патчей. Это говорит о том, что многие компании не только не следят за уязвимостями, но и не имеют чёткой системы их управления. Сложность диагностики таких атак обусловлена тем, что действия злоумышленников могут выглядеть как законные действия сотрудников, что усложняет обнаружение инцидентов.

Недостаток финансирования и квалификации в сегменте малого и среднего бизнеса становится критическим фактором. Как отмечают эксперты, эти компании сталкиваются с реальными ограничениями, которые мешают им внедрять адекватные меры защиты. В результате, даже те, кто хочет соблюдать стандарты, оказываются в ситуации, когда они не могут этого сделать. Это приводит к тому, что заказчики не всегда могут быть уверены в надёжности своих поставщиков, и, соответственно, в безопасности своей инфраструктуры.

Для решения проблемы, по мнению специалистов, необходимы единые отраслевые стандарты и законодательные рамки, регулирующие требования к кибербезопасности подрядчиков. В текущей ситуации требования к поставщикам часто зависят от инициативы заказчика, что порождает хаотичность и несоответствие. Введение обязательной системы проверки может снизить риски, но для этого потребуется синхронизация усилий между государственными структурами, бизнесом и экспертным сообществом. В краткосрочной перспективе можно ожидать увеличения числа инцидентов, если подходы к защите не будут систематизированы. В долгосрочной — развитие нормативной базы и рост осведомлённости могут снизить уязвимости в цепочке поставок.