29 июня 2023 г.
Эксперты компании «Инфосистемы Джет» провели исследование, посвященное анализу проблем и рисков, связанных с атаками через сторонние организации, когда злоумышленники атакуют целевую компанию не напрямую, а через ее доверенных партнеров, поставщиков или подрядчиков. Такие атаки также называют «эксплуатацией доверия» и «атаками на цепочку поставок». В релизе представлены основные цифры и выводы из исследования.
Основные выводы исследования
Риск эксплуатации доверия входит в ТОП-5 наиболее критичных и вероятных среди других типов операционных рисков за последние три года, а рост количества атак на цепочки поставок, по разным источникам, составляет от 300% и более[1].
Растущее влияние подобных атак на бизнес доказывают публичные случаи последних лет: инциденты, когда злоумышленники сначала взламывают инфраструктуру поставщика, а затем продвигаются далее для получения доступа к данным более крупной компании, приводят к простоям систем, денежным потерям и ущербу для репутации последних. Так, весной 2023 года по вине подрядчика, ответственного за разработку нового сайта компании «ИнфоТеКС», в сеть попали архивы с 60 912 учетными записями пользователей, а в конце 2022 года из-за кибератаки на стороннего поставщика ИТ-услуг (компанию «Supeo») на несколько часов была остановлена государственная железная дорога в Дании.
По наблюдениям аналитиков «Инфосистемы Джет», мероприятия по оценке поставщика по линии ИБ проводят менее 10% компаний, несмотря на возросшее внимание к вопросам информационной безопасности.
Хотя расходы компаний на информационную безопасность существенно растут, в основном средства вкладываются в защиту периметра и мониторинг ИБ. Исследование показывает, что риски, связанные с атаками на поставщиков, в большинстве случаев оказываются вне фокуса внимания, что приводит к многочисленным случаям взломов через подрядчиков. За последнее время публичными стали десятки крупных инцидентов. Обычно подобные проблемы компании стараются не афишировать, поэтому реальное количество таких случаев гораздо выше.
Основные цифры
- 80% компаний используют такие же защитные меры в отношении подрядчиков и поставщиков услуг, как и в отношении удаленных работников компании.
- Лишь 20% компаний определяют набор защитных мер исходя из специфики взаимодействия и профиля риска поставщика.
- Менее 10% компаний проводят мероприятия по оценке уровня информационной безопасности поставщика услуг. Оценка проводится в основном с использованием опросных листов и часто носит формальный характер — не влияет на дальнейшее решение о выборе поставщика или архитектуры подключения к ресурсам компании.
- 38% компаний для обмена большими файлами со сторонними компаниями используют внешние бесплатные сервисы. При этом сотрудник — инициатор обмена, как правило, самостоятельно определяет требования к безопасности, руководствуясь принципами скорости и удобства.
Основные риски при работе с подрядчиками
В цикле взаимодействия с подрядчиками компания проходит три ключевых этапа:
- Инициализация взаимодействия
- Управление взаимоотношением
- Прекращение работы
Эксперты компании «Инфосистемы Джет» проанализировали самые часто встречающиеся риски, возникающие на каждом из этапов.
На этапе инициализации взаимодействия подавляющее большинство компаний рассматривает киберриски взаимодействия с поставщиками в совокупности с другими рисками без детализации. При этом часть опрошенных (15%) вовсе не считает такую оценку необходимой.
Детальная проработка киберрисков, связанных с поставщиками, осуществляется в основном крупными компаниями и госсектором.
Процедуры взаимодействия с поставщиками у большинства респондентов формализованы в виде элементарных требований по безопасной передаче информации. Как отмечает 61% опрошенных, киберриски поставщика оцениваются только с помощью проверки по линии службы безопасности, реже — в 15% случаев — с использованием опросников с формальными критериями.
На этапе управления взаимоотношениями с поставщиком (то есть непосредственно во время совместной работы), согласно результатам исследования, в 80% компаний применяются те же защитные меры в отношении подрядчиков, что и в отношении собственных сотрудников, работающих удаленно. Только в 20% случаев набор защитных мер определялся исходя из специфики взаимодействия и профиля поставщика.
Только 5% компаний, использующих сервисы по выявлению цифровых рисков, помимо своего периметра, анализируют внешних поставщиков. Реагирование на атаки со стороны поставщиков услуг в 90% компаний осуществляется по общим схемам.
В 38% компаний для обмена большими файлами с внешними подрядчиками используются внешние бесплатные сервисы. При этом сотрудник, инициировавший обмен, как правило, самостоятельно определяет требования к безопасности сервиса, ориентируясь на свое удобство и скорость процессов.
На этапе прекращения работы, согласно результатам опроса, подавляющее число компаний не проводит оценку влияния ИТ-поставщиков на непрерывность деятельности организации. В случае инцидента, связанного с поставщиком, только 18% опрошенных компаний смогут оперативно предпринять действия по восстановлению согласно планам обеспечения непрерывности процесса работы.
«Чаще всего в компаниях информационная безопасность строится по модели „Castle and Moat“, когда после входа в систему пользователь может свободно перемещаться и получать доступ к информации без дополнительной проверки. Фокус на защите периметра относительно эффективен против внешнего злоумышленника, однако после успешного взлома подрядчика в такой инфраструктуре атакующий имеет полный „карт-бланш“», — комментирует Александр Морковчин, начальник отдела развития консалтинга по информационной безопасности «Инфосистемы Джет».
Об исследовании
Исследование подготовлено на основе собственной аналитики центра информационной безопасности: по данным, полученным в ходе реализации проектов по аудиту информационной безопасности, по результатам работы группы мониторинга внешних цифровых рисков, а также по результатам опросов ключевых заказчиков компании и внешних опросов профильной аудитории. В опросе приняли участие представители крупного бизнеса, малые и средние предприятия и компании государственного сектора.
Источник: Пресс-служба компании «Инфосистемы Джет»