Каждая десятая компания в России не знает, сколько у нее поставщиков

Почти каждая десятая (9%) компания в России не может назвать точное число своих поставщиков и подрядчиков. В мире этот показатель чуть ниже — 6%. Такие данные получил внутренний исследовательский центр «Лаборатории Касперского» в результате глобального опроса «Цепная реакция: как защититься от кибератак через компрометацию подрядчиков и вендоров ПО»*. Они были представлены на Петербургском международном экономическом форуме (ПМЭФ-2026).

В среднем российская компания взаимодействует с 67 поставщиками программного и аппаратного обеспечения и с 99 подрядчиками, имеющими доступ к ее системам. При этом только 8% респондентов удовлетворены уровнем защиты цепочки поставок, почти половина (45%) указывают на нехватку решений для контроля за кибербезопасностью подрядчиков. Этот показатель гораздо выше, чем в мире (31%).

Компании осознают высокие риски атак через подрядчиков и поставщиков. Большинство респондентов понимают, что атаки на цепочки поставок ПО или через подрядчиков не из ИТ-сферы, с которыми выстроены доверительные отношения, приводят к серьезным последствиям. На первом месте для российских компаний — финансовый ущерб (61% против 48% в мире), за ним следуют операционные нарушения (49% против 52% в мире) и кража интеллектуальной собственности (44% против 33% в мире).

«Современные организации зависят от десятков внешних партнеров и подрядчиков, включая поставщиков ПО, услуг и облачных сервисов. Эта цифровая взаимозависимость повышает операционную эффективность, но существенно повышает риски проникновения в инфраструктуру через сторонние организации, которые имеют доступ к корпоративным сетям или программному обеспечению», — комментирует Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ.

38% российских компаний (в мире — 26%) оценивают свою уязвимость к атакам на цепочку поставок и компрометации доверенных связей как значительную. Большинство (92%) говорят о необходимости совершенствовать защиту (в мире — 85%), при этом 18% считают, что нужны серьезные изменения. Абсолютное большинство (100%) российских компаний, еще не разделяющих расходы на кибербезопасность с подрядчиками, готовы к этому, в каждой пятой уже практикуется подобный подход.

Мировой опыт. Мировая статистика показывает, что компании учатся на горьком опыте. Организации, пострадавшие от атак на цепочки поставок, значительно чаще запрашивают у поставщиков результаты тестирования на проникновение (56% среди тех, кто проверяет поставщиков на предмет информационной безопасности), а жертвы атак через подрядчиков, с которыми выстроены доверительные отношения, уделяют внимание проверке соответствия отраслевым стандартам (56%) и анализу собственных политик безопасности цепочек поставок у подрядчиков (53%).

«Компании осознают: уровень их информационной безопасности определяется в том числе уровнем защищенности их подрядчиков и поставщиков, а значит необходимо корректировать подход к формированию стратегии кибербезопасности. Существенный разрыв между уровнем рисков и реальным уровнем защиты требует практических мер. При этом ответственность за управление такими рисками не может ограничиваться только подразделением ИБ — она должна начинаться еще на этапе выбора контрагента. Бизнесу необходимо внедрить критерии кибербезопасности, включая аудит политик безопасности, тестирования на проникновение и проверку истории инцидентов, как обязательный блокирующий фактор при выборе любого контрагента, имеющего доступ к инфраструктуре», — объясняет Анна Кулашова.

Для снижения рисков подвергнуться таким кибератакам «Лаборатория Касперского» рекомендует:

• тщательно оценивать уровень ИБ вендоров ПО, прежде чем заключать с ними контракты: проверять их политики кибербезопасности, информацию о прошлых инцидентах и уровень соответствия индустриальным стандартам в области ИБ. При выборе ПО и облачных сервисов также рекомендуется оценивать данные об уязвимостях и проводить пентесты;
• добавлять в контракты требования к соблюдению правил информационной безопасности: проводить регулярные аудиты, следить за соблюдением подрядчиками установленных в вашей организации правил ИБ и протоколов оповещения о киберинцидентах;
• применять решение для комплексной защиты всей ИТ-инфраструктуры;
• разработать план реагирования на инциденты, в том числе в случае атаки на цепочки поставок ПО, и убедиться, что в него включены меры для быстрого выявления брешей и минимизации связанных с ними рисков, например путем отключения поставщика от систем компании;
• сотрудничать с вендорами по вопросам кибербезопасности: усилить защиту с обеих сторон и сделать это двусторонним приоритетом;
• обучать сотрудников навыкам цифровой грамотности, чтобы минимизировать риски атак с использованием методов социальной инженерии, в том числе фишинга;
• использовать только лицензионное ПО и регулярно его обновлять, следить за официальными заявлениями вендоров;
• малому и среднему бизнесу — установить на корпоративные устройства надежную защитную программу.

* Опрос проведен по всему миру, в нем принимало участие 1714 сотрудников компаний со штатом не менее 500 человек, в том числе топ-менеджеры, вице-президенты, тимлиды и старшие специалисты.