Управление киберрисками в цепочке поставок: на что обратить внимание

Количество атак через цепочки поставок растет, и кибербезопасность в условиях, когда речь идет о третьей стороне, сегодня является крайне проблемной зоной. О ключевых моментах в этом вопросе рассказывает Алексей Ахмеев, руководитель управления информационной безопасности и цифровизации Moneyman.

Насколько сегодня актуален вопрос управления рисками третьих сторон в разрезе ИБ?

Проблема стоит остро и становится актуальнее по мере роста зависимости российского бизнеса от сторонних подрядчиков. Так, по данным компании «Информзащита», количество кибератак, направленных на российские предприятия посредством их контрагентов, в I квартале 2025 года увеличилось на 80% по сравнению с аналогичным периодом прошлого года. Согласно исследованию, самыми уязвимыми оказались поставщики логистических услуг (40% от всех случаев атак), операторы цифровой инфраструктуры (38%) и разработчики ПО (22%). Наибольший ущерб от такого типа кибератак получают представители промышленности (53%), розничной торговли (27%) и топливно-энергетической отрасли (10%).

Что является положительным маркером с точки зрения оценки киберугроз при взаимодействии с подрядчиком?

Наиболее показательным с точки зрения оценки киберрисков, возможных к реализации со стороны поставщика, является готовность принятия и подписания им некоего документа — возможно, допсоглашения к договору (или включения в договор соответствующего блока). Речь идет о требованиях по информационной безопасности, которые необходимо соблюдать для поддержания общего уровня защищенности периметра заказчика. При этом поставщик может как иметь доступ к инфраструктуре заказчика, так и не иметь такового. От уровня доступа к внутренней инфраструктуре будет прямо пропорционально зависеть степень жесткости и общий состав требований ИБ. В любом случае, если поставщик готов брать ответственность за соблюдение выставленных правил, то это характеризует его как ответственного участника рынка, заботящегося о своей безопасности и безопасности заказчика. Важно понимать — заказчик при этом сам должен соблюдать те правила, которые транслируются подрядчику.

Актуален ли контроль заказчиком уровня киберзащищенности подрядчика и оправдано ли требование соответствия его стандартам ISO?

Не каждая компания готова предоставить свою инфраструктуру для оценки и контроля кому-то со стороны без дополнительных на то соглашений. Существует практика, когда крупные игроки рынка включают в свои договоры право проводить аудиты и запрашивать данные для оценки уровня зрелости информационной безопасности своих подрядчиков, при этом профита для них в виде рекомендаций или конкретного плана по повышению уровня ИБ не будет. Семейство стандартов ISO 27000 — это большой состав документов, на основе которых строится управление информационной безопасностью в компании. Но необходимо понимать, что они носят рекомендательный характер, поэтому требовать соответствия им не получится. Как уже было сказано ранее, выходом может стать сформированный перечень тех требований, которые исполняются у заказчика, и чтобы у поставщика они также были. Это поможет сбалансировать общий уровень безопасности.

Может ли быть эффективен мониторинг и реагирование на ИБ-инциденты на стороне подрядчика и его техконтроль силами заказчика?

Проведение сканирований внешнего периметра сторонней компании могут быть расценены по-разному. Это допустимо только при наличии соответствующей договоренности между двумя контрагентами. Но не стоит забывать о том, что все работы, касающиеся информационной безопасности, должен проводить имеющий соответствующую лицензию ФСТЭК контрагент. В противном случае все эти действия могут быть расценены как попытки разведки и вмешательства в стороннюю инфраструктуру, а это уже деяние из разряда уголовно наказуемых. Я не рекомендую такой подход.