Более половины ИТ-подрядчиков в России имеют низкий уровень кибербезопасности
У 55% ИТ-подрядчиков российского крупного бизнеса как минимум один порт для доступа в систему из интернета остается незащищенным. Это позволяет злоумышленникам скомпрометировать данные или проникнуть в инфраструктуру заказчика. Об этом пишут «Ведомости» со ссылкой на исследование компании в сфере информационной безопасности CICADA8.
Эксперты проанализировали 60 тыс. российских компаний, выступающих подрядчиками крупного бизнеса. В основном оно охватило ИТ-интеграторов (60% выборки), разработчиков (15%) и другие организации, имеющие доступ к персональным данным клиентов компании-заказчика и ее сотрудников, коммерческой тайне или интеллектуальной собственности.
Согласно исследованию, у 32% подрядчиков присутствуют неустраненные критические уязвимости, несмотря на наличие обновлений для их исправления. Как отметил директор продуктового портфеля и сервисов CICADA8 Сергей Колесников, такие бреши занимают второе место по популярности среди векторов атак киберпреступников.
Кроме того, у 27% подрядчиков корпоративные учетные записи были найдены в базах утечек на теневых форумах даркнета, и их относительно свежий «возраст» предполагает, что они все еще действительны и могут служить точкой входа для хакеров.
Количество инцидентов с атаками через подрядчиков растет: в 2024 году их стало в три раза больше по сравнению с 2023 годом, подтвердил директор департамента компании T.Hunter Игорь Бедеров. Многие организации не контролируют защищенность поставщиков, что делает их уязвимыми несмотря на инвестиции в собственную инфраструктуру, подчеркнул Колесников.
Крупные компании ужесточают требования к подрядчикам по кибербезопасности, включая их в тендерные условия, рассказал технический директор «Спикател» Евгений Пудовкин. Однако малый и средний бизнес, составляющий большинство контрагентов, ограничен в ресурсах и экспертизе. Для улучшения ситуации нужны отраслевые методики оценки, государственные стимулы вроде субсидий, типовых сервисов и налоговых льгот для инвестиций в информационную безопасность, считает Пудовкин.
