Примерно 9% российских компаний не могут с точностью определить количество своих поставщиков и подрядчиков. В глобальном масштабе этот показатель немного ниже — 6%. Эти данные были получены внутренним исследовательским центром «Лаборатории Касперского» в рамках международного опроса «Цепная реакция: как защититься от кибератак через компрометацию подрядчиков и вендоров ПО». Об этом CNews проинформировали представители «Лаборатории Касперского».
Исследование проводилось по всему миру, в нем приняли участие 1714 сотрудников компаний с численностью персонала от 500 человек, включая топ-менеджеров, вице-президентов, руководителей групп и старших специалистов.
В среднем российская организация сотрудничает с 67 поставщиками программного и аппаратного обеспечения, а также с 99 подрядчиками, которые имеют доступ к ее системам. При этом лишь 8% опрошенных довольны уровнем защиты цепочки поставок, а почти половина (45%) отмечают недостаток инструментов для контроля кибербезопасности подрядчиков. Этот показатель значительно превышает мировой уровень (31%).
Компании осознают высокие риски атак через подрядчиков и поставщиков. Большинство респондентов понимают, что атаки на цепочки поставок ПО или через подрядчиков из не-IT-сферы, с которыми установлены доверительные отношения, влекут за собой серьезные последствия. Для российских компаний на первом месте стоит финансовый ущерб (61% против 48% в мире), далее следуют операционные сбои (49% против 52% в мире) и кража интеллектуальной собственности (44% против 33% в мире).
«Современные предприятия зависят от множества внешних партнеров и подрядчиков, таких как поставщики ПО, услуг и облачных сервисов. Эта цифровая взаимосвязь повышает операционную эффективность, но одновременно значительно увеличивает риски проникновения в инфраструктуру через сторонние организации, имеющие доступ к корпоративным сетям или программному обеспечению», — отметила Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ.
38% российских компаний (в мире — 26%) оценивают свою уязвимость к атакам на цепочку поставок и компрометации доверенных связей как высокую. Большинство (92%) заявляют о необходимости улучшения защиты (в мире — 85%), при этом 18% считают, что требуются кардинальные изменения. Абсолютное большинство (100%) российских компаний, которые еще не разделяют расходы на кибербезопасность с подрядчиками, готовы к этому, а в каждой пятой такой подход уже применяется.
Мировой опыт. Глобальная статистика показывает, что компании учатся на собственных ошибках. Организации, пострадавшие от атак на цепочки поставок, значительно чаще запрашивают у поставщиков результаты тестирования на проникновение (56% среди тех, кто проверяет поставщиков на информационную безопасность), а жертвы атак через подрядчиков, с которыми установлены доверительные отношения, уделяют внимание проверке соответствия отраслевым стандартам (56%) и анализу собственных политик безопасности цепочек поставок у подрядчиков (53%).
«Бизнес понимает: уровень кибербезопасности компании напрямую зависит от того, насколько хорошо защищены её партнеры и поставщики. Следовательно, необходимо пересматривать подходы к формированию стратегии в области информационной безопасности. Серьёзный разрыв между существующими угрозами и фактическим уровнем защиты требует принятия конкретных мер. При этом управление подобными рисками не должно ложиться исключительно на отдел ИБ — этот процесс необходимо запускать уже на стадии выбора контрагента. Компаниям нужно внедрить критерии кибербезопасности, такие как проверка политик безопасности, тестирование на проникновение и анализ истории инцидентов, в качестве обязательного блокирующего условия при выборе любого партнёра, имеющего доступ к инфраструктуре», — отметила Анна Кулашова.
Чтобы минимизировать вероятность стать жертвой подобных кибератак, «Лаборатория Касперского» советует:
– перед подписанием контрактов с разработчиками ПО тщательно анализировать их уровень информационной безопасности: изучать их политики в этой сфере, данные о прошлых инцидентах и степень соответствия отраслевым стандартам. При выборе программного обеспечения и облачных решений также стоит проверять информацию об уязвимостях и организовывать пентесты;
– включать в договоры условия по соблюдению норм информационной безопасности: проводить регулярные аудиты, контролировать выполнение подрядчиками правил ИБ, принятых в вашей компании, и протоколов уведомления о киберинцидентах;
– применять превентивные технологические меры, включая принцип минимальных привилегий, концепцию нулевого доверия и развитую систему управления учётными записями, чтобы ограничить ущерб в случае взлома подрядчика;
– использовать решение для всесторонней защиты всей ИТ-инфраструктуры;
– создать план действий при инцидентах, в том числе при атаках на цепочки поставок ПО, и убедиться, что он предусматривает меры для оперативного обнаружения уязвимостей и снижения связанных с ними рисков, например, через отключение поставщика от систем компании;
– взаимодействовать с вендорами в вопросах кибербезопасности: укреплять защиту с обеих сторон и сделать это общим приоритетом;
– повышать цифровую грамотность сотрудников, чтобы уменьшить риски атак, основанных на методах социальной инженерии, в том числе фишинга; для этого подойдут профильные курсы или тренинги;
– применять исключительно лицензионное ПО и своевременно его обновлять, отслеживая официальные уведомления разработчиков;
– малому и среднему бизнесу — устанавливать на корпоративные устройства надёжное защитное программное обеспечение.
