Проверяют поставщиков по линии ИБ лишь 10% российских компаний
Мероприятия по оценке поставщика по линии ИБ проводят менее 10% компаний, несмотря на возросшее внимание к вопросам информационной безопасности. Такие результаты показало исследование, которое провели эксперты интегратора "Инфоситемы Джет".
Риск эксплуатации доверия входит в ТОП-5 наиболее критичных и вероятных среди других типов операционных рисков за последние три года, а рост количества атак на цепочки поставок, по разным источникам, составляет от 300% и более .
Растущее влияние подобных атак на бизнес доказывают публичные случаи последних лет: инциденты, когда злоумышленники сначала взламывают инфраструктуру поставщика, а затем продвигаются далее для получения доступа к данным более крупной компании, приводят к простоям систем, денежным потерям и ущербу для репутации последних. Так, весной 2023 года по вине подрядчика, ответственного за разработку нового сайта компании "ИнфоТеКС", в сеть попали архивы с 60 912 учетными записями пользователей, а в конце 2022 года из-за кибератаки на стороннего поставщика ИТ-услуг (компанию Supeo) на несколько часов была остановлена государственная железная дорога в Дании.
По наблюдениям аналитиков "Инфосистемы Джет", мероприятия по оценке поставщика по линии ИБ проводят менее 10% компаний, несмотря на возросшее внимание к вопросам информационной безопасности.
Хотя расходы компаний на информационную безопасность существенно растут, в основном средства вкладываются в защиту периметра и мониторинг ИБ. Исследование показывает, что риски, связанные с атаками на поставщиков, в большинстве случаев оказываются вне фокуса внимания, что приводит к многочисленным случаям взломов через подрядчиков. За последнее время публичными стали десятки крупных инцидентов. Обычно подобные проблемы компании стараются не афишировать, поэтому реальное количество таких случаев гораздо выше.
Основные цифры
80% компаний используют такие же защитные меры в отношении подрядчиков и поставщиков услуг, как и в отношении удаленных работников компании.
Лишь 20% компаний определяют набор защитных мер исходя из специфики взаимодействия и профиля риска поставщика.
Менее 10% компаний проводят мероприятия по оценке уровня информационной безопасности поставщика услуг. Оценка проводится в основном с использованием опросных листов и часто носит формальный характер — не влияет на дальнейшее решение о выборе поставщика или архитектуры подключения к ресурсам компании.
38% компаний для обмена большими файлами со сторонними компаниями используют внешние бесплатные сервисы. При этом сотрудник – инициатор обмена, как правило, самостоятельно определяет требования к безопасности, руководствуясь принципами скорости и удобства.
"Чаще всего в компаниях информационная безопасность строится по модели "Castle and Moat", когда после входа в систему пользователь может свободно перемещаться и получать доступ к информации без дополнительной проверки. Фокус на защите периметра относительно эффективен против внешнего злоумышленника, однако после успешного взлома подрядчика в такой инфраструктуре атакующий имеет полный "карт-бланш"", — комментирует Александр Морковчин, начальник отдела развития консалтинга по информационной безопасности "Инфосистемы Джет".
