По итогам анализа 60 тысяч российских компаний, выступающих в качестве контрагентов и подрядчиков, у 55% оказался не защищен как минимум один из портов для доступа в систему из интернета, у 32% в системах были «старые» критические уязвимости, а у 27% данные корпоративных учетных записей были обнаружены в базах утечек
Обновлено в 13:50
Более половины IT-подрядчиков крупного российского бизнеса не защищены от кибератак, показало исследование компании в сфере информбезопасности CICADA8, пишут «Ведомости».
Эксперты проанализировали 60 тысяч российских компаний, выступающих в качестве контрагентов и подрядчиков. У 55% оказался не защищен как минимум один из портов для доступа в систему из интернета, что позволяет украсть данные или проникнуть в инфраструктуру.
У 32% в системах были «старые» критические уязвимости, которые компания не исправила, несмотря на то что уже есть обновления для их устранения, а у 27% данные корпоративных учетных записей были обнаружены в базах утечек, опубликованных на теневых форумах даркнета.
В России до сих пор нет единых требований по кибербезопасности для контрагентов, отмечает издание. Нужны ли они — вопрос спорный, считает эксперт по информационной безопасности, генеральный директор Phishman Алексей Горелкин:
Алексей Горелкин эксперт по информационной безопасности, гендиректор Phishman «Атака на цепочку поставщиков по всему миру встречается. То есть это в целом нормально, когда атакуют не большую, крупную, защищенную компанию с большим количеством финансов, а их подрядчика, у которого намного меньше денег и ресурсы поэтому у них ограничены, в том числе и человеческие, поэтому они не могут обеспечить безопасность. Тут вопрос в том, как крупный заказчик будет с этим бороться. То есть крупный заказчик может, к примеру, ввести определенные требования безопасности, а также взять бремя обеспечения безопасности на себя, как минимум начать, к примеру, с киберкультуры. Большинство атак идут довольно дешево через социальную инженерию и элементарное невыполнение банальных правил кибергигиены. В целом большой игрок может взять на себя это бремя обеспечения безопасности своего подрядчика. Не всего, а только той части, с которой он работает. Нужно ли вводить какое-то единое требование по кибербезопасности? Конечно, нет. У нас нет в стране единых требований. У нас даже то, что требуется по федеральным законам, варьируется. То есть вы можете по-разному настраивать, по-разному делать что-либо. Опять-таки, даже если мы говорим про требования, у нас есть требования к персональным данным, и что, нам это помогло от утечек? Не помогло. Поэтому введение каких-либо стандартов и всего остального не поможет, на первом месте то, как люди эти стандарты выполняют, хотят ли они их выполнять и в целом то, насколько люди понимают, что такое кибербезопасность».
К самому исследованию есть вопросы, отмечает эксперт в области информационной безопасности, управляющий RTM Group Евгений Царев. Однако он подтверждает проблему уязвимости компаний-подрядчиков:
Евгений Царев управляющий RTM Group, эксперт в области информационной безопасности и права в IT «У нас по действующему российскому законодательству проводить исследования технического характера на такие широкие группы, которые не давали согласия на это, в принципе нельзя. Речь не о том, чтобы опубликовать какие-то обезличенные данные, это отдельная история. А если действительно исследование было проведено, то оно на грани находится, скажем так. Это первый момент. Второй момент по технической части. У крупных компаний есть масса подрядчиков, в том числе и мелких, некоторые мелкие компании состоят из одного-двух человек. Но если компания небольшая, то, будь она IT-компанией, будь она любой другой организацией, у них внутренняя информационная безопасность все равно будет на невысоком уровне. И речь здесь именно о размере организации и о ее сложности. Потому что если в компании пять человек, они не используют априори те технологии, которые может использовать компания из 100 человек. А компании из 100 человек априори не используют технологии, которые используют компании на 10 тысяч человек. И таким образом мы просто приходим к ситуации, когда дыр в системе безопасности мелких подрядчиков существенно больше. Однако их критичность в теории существенно меньше. Но то, о чем говорят исследователи, и то, что точно является правдой, это то, что сегодня так построено наше взаимодействие у подрядчиков и заказчиков, что мы интегрируемся в информационные системы друг друга. И получается, что, если крупная компания, которая кучу денег тратит на кибербезопасность, пускает к себе пользователя, который изначально менее защищен, это создает повышенные риски».
Корпоративные адреса электронной почты сотрудников почти всех крупных компаний засветились в утечках, пишет Forbes со ссылкой на данные проекта StopPhish. Дело в том, что сотрудники часто используют такие адреса для регистрации на сторонних сервисах, применяя одни и те же пароли. И когда такие сервисы становятся объектом атаки хакеров, корпоративные данные попадают в руки злоумышленников.