5 мин чтения ИИ-материал

Supply-chain-атаки на интеграторов и ИТ-подрядчиков: что проверить до выдачи VPN и доступа к контурам

Supply-chain-атаки на интеграторов и ИТ-подрядчиков: что проверить до выдачи VPN и доступа к контурам

Киберугрозы эволюционируют, и одна из наиболее опасных тенденций последних лет — это атаки через цепочку поставок. Вместо того чтобы штурмовать крепко защищённые корпоративные системы крупных компаний, злоумышленники всё чаще выбирают более лёгкую мишень: подрядчиков, интеграторов и поставщиков услуг. Эта стратегия оказалась настолько эффективной, что в 2025 году атаки на цепочки поставок участились на 90%, а эксперты прогнозируют рост на 35-40% в текущем году. Для российских организаций эта угроза становится критически важной, особенно в контексте того, что до 40-50% успешных атак на банки реализуется именно через канал Supply Chain. Проблема усугубляется тем, что большинство компаний доверяют своим подрядчикам слишком безоговорочно. Когда интегратор или ИТ-подрядчик получает доступ к VPN и корпоративным контурам, это часто происходит без надлежащей проверки его собственной защиты. Результат предсказуем: взлом поставщика становится входной дверью в инфраструктуру десятков или сотен его клиентов. Именно поэтому выдача доступа должна быть окружена серьёзным процессом верификации и управления рисками.

Почему подрядчики стали главной мишенью

Привлекательность атак через цепочку поставок объясняется несколькими факторами. Во-первых, крупные компании инвестируют значительные ресурсы в защиту собственной инфраструктуры, создавая многоуровневые системы безопасности и содержа специализированные отделы информационной безопасности или SOC. Взлом такой организации напрямую становится экономически нецелесообразным для злоумышленников. Во-вторых, компании традиционно доверяют своим партнёрам. Это доверие часто основано на многолетних отношениях, репутации и контрактах, но редко подкрепляется постоянной верификацией уровня безопасности партнёра. Такой разрыв между доверием и реальной защищённостью создаёт идеальные условия для атак. В-третьих, компрометация одного поставщика может дать доступ к инфраструктуре множества организаций одновременно. Это мультипликативный эффект: один успешный взлом подрядчика может затронуть сотни его клиентов. Классический пример — инцидент с финтех-компанией Wise и Evolve Bank & Trust, где предоставление инфраструктуры через API создало канал утечки данных, затронувший всех участников партнёрского взаимодействия.

Что необходимо проверить перед выдачей доступа

Процесс проверки подрядчика должен быть комплексным и охватывать технические, организационные и финансовые аспекты. Это не одноразовая процедура, а начало долгосрочного управления рисками.

Оценка организационной зрелости информационной безопасности

Первый и критически важный шаг — понять, насколько серьёзно подрядчик относится к защите информации. Это включает проверку наличия в компании выделенного подразделения или хотя бы ответственного лица за информационную безопасность. Организации, в которых вопросы безопасности распределены между несколькими отделами без единого центра ответственности, обычно демонстрируют более низкий уровень защиты. Необходимо запросить документацию, подтверждающую наличие формализованных процессов безопасности. Это может быть политика информационной безопасности, регламенты управления доступом, процедуры реагирования на инциденты, планы восстановления после сбоев. Компании, которые не могут предоставить такую документацию или предоставляют её в минимальном объёме, часто не имеют достаточного уровня зрелости ИБ. Проверьте наличие сертификаций и соответствия стандартам. ISO 27001, SOC 2 Type II, или специальные отраслевые сертификации (например, для банковского сектора) указывают на то, что компания прошла независимую проверку своих процессов безопасности. Однако не переоценивайте значение сертификатов — они лишь отправная точка, а не гарантия отсутствия уязвимостей.

Техническая проверка инфраструктуры

Техническая оценка должна включать аудит систем, которые будут взаимодействовать с вашей инфраструктурой. Запросите информацию о том, какие операционные системы используются, какие версии ПО установлены, как часто проводятся обновления безопасности. Особое внимание уделите управлению доступом в компании подрядчика. Как они организуют разделение прав? Используют ли они принцип наименьших привилегий, когда каждый сотрудник получает только те права, которые необходимы для его работы? Как долго работают сотрудники с повышенными привилегиями? Насколько быстро отзываются права при увольнении? Проверьте наличие систем мониторинга и логирования. Компания должна вести журналы всех действий, особенно связанных с доступом к критичным системам. Если подрядчик не может показать вам логи активности или не ведёт их вообще, это серьёзный красный флаг. Запросите информацию об использовании многофакторной аутентификации (MFA). В 2026 году это уже не опция, а необходимость. Если подрядчик не использует MFA для защиты своих систем, риск компрометации его учётных записей резко возрастает.

Анализ истории инцидентов

История — это лучший учитель. Попросите подрядчика раскрыть информацию о любых инцидентах безопасности, которые произошли в его компании за последние 3-5 лет. Компании, которые отказываются предоставлять эту информацию или утверждают, что у них никогда не было инцидентов, вызывают подозрение. Важно не само наличие инцидентов в прошлом, а то, как компания на них реагировала. Провела ли она расследование? Были ли приняты меры по предотвращению повторения? Как быстро был устранён инцидент? Компании, которые учатся на своих ошибках и совершенствуют процессы, часто более безопасны, чем те, которые никогда не сталкивались с проблемами просто потому, что их никто не проверял. Также проверьте подрядчика в открытых источниках и в даркнете. Существуют специализированные сервисы, которые отслеживают утечки данных и компрометированные учётные записи. Если данные сотрудников подрядчика или его клиентов появились в публичных базах скомпрометированных паролей, это указывает на проблемы с безопасностью.

Финансовая устойчивость и репутация

Финансовые трудности часто становятся причиной компрометации безопасности. Компания, которая не может позволить себе обновлять ПО, нанимать квалифицированных специалистов по безопасности или инвестировать в инструменты защиты, представляет повышенный риск. Проверьте финансовое состояние подрядчика через открытые источники. Если компания находится на грани банкротства, это может быть причиной для пересмотра её включения в вашу цепочку поставок. Репутация в отрасли также важна. Поговорите с другими клиентами подрядчика (если это возможно), посмотрите отзывы, проверьте, были ли какие-либо судебные иски или претензии, связанные с безопасностью данных. Компания, которая неоднократно имела проблемы с безопасностью у разных клиентов, может быть системным источником риска.

Процесс выдачи доступа и управление привилегиями

Даже если подрядчик прошёл все проверки, процесс выдачи доступа должен быть тщательно контролируемым.

Принцип наименьших привилегий

Никогда не выдавайте подрядчику больше прав, чем необходимо для выполнения его задач. Если интегратор должен работать только с определённым приложением, не давайте ему доступ ко всей сети. Если ему нужна возможность читать файлы, не давайте право их удалять или модифицировать. Задокументируйте, какие именно права получает каждый сотрудник подрядчика, для какой цели и на какой период времени. Это должно быть зафиксировано в договоре и во внутренних системах управления доступом.

Изоляция и сегментация сети

Используйте сегментацию сети, чтобы ограничить распространение потенциальной компрометации. Подрядчик должен получать доступ через отдельный VPN-канал с применением дополнительных ограничений. Его трафик должен быть изолирован от критичных систем. Реализуйте микросегментацию, при которой даже в рамках выделенной подсети подрядчика доступ ограничивается только необходимыми ресурсами. Это усложняет жизнь потенциальному злоумышленнику, который скомпрометировал учётную запись сотрудника подрядчика.

Мониторинг в реальном времени

Традиционный годовой аудит больше не обеспечивает необходимый уровень защиты. Вам нужен непрерывный мониторинг активности подрядчика в ваших системах. Используйте SIEM (Security Information and Event Management) или SOAR (Security Orchestration, Automation and Response) решения для сбора и анализа логов. Настройте алерты на аномальное поведение: необычное время доступа, попытки доступа к ресурсам, к которым подрядчик не должен иметь доступа, массовое копирование данных. Проводите регулярные проверки логов доступа. Если подрядчик не использует выданные привилегии в течение длительного времени, рассмотрите возможность их отзыва. Если активность резко возрастает или меняется по характеру, это может быть признаком компрометации.

Практические инструменты и подходы

На организационном уровне компании должны внедрить несколько ключевых практик. Во-первых, это разработка и поддержание Software Bill of Materials (SBOM) — перечня всех модулей, библиотек и компонентов, которые использует подрядчик в своих решениях. SBOM позволяет быстро выявить потенциально уязвимые компоненты и оценить риск. Во-вторых, используйте Software Composition Analysis (SCA) для анализа открытого кода и зависимостей. Эти инструменты автоматически проверяют компоненты на известные уязвимости и помогают выявить проблемы на ранних стадиях. В-третьих, внедрите процесс непрерывного мониторинга зависимостей. Уязвимости в компонентах открытого кода обнаруживаются постоянно, и вам нужно быть в курсе этих изменений. На технологическом уровне рассмотрите использование прокси-сервисов для проверки компонентов перед их интеграцией в вашу инфраструктуру. Это создаёт дополнительный уровень защиты между вашей сетью и внешними ресурсами.

Договорные и правовые аспекты

Договор с подрядчиком должен содержать чёткие требования к уровню безопасности. Это включает обязательства по поддержанию определённого уровня защиты, процедуры реагирования на инциденты, требования к уведомлению о проблемах и штрафные санкции за их нарушение. Регулятивные требования, такие как директива NIS2 и регламент DORA, обязывают организации учитывать цепочку поставок в общей стратегии безопасности. Это означает, что оценка подрядчиков больше не разовая формальность, а непрерывный процесс управления рисками, который должен быть зафиксирован в договорах и внутренних политиках. Убедитесь, что договор включает положение об ответственности подрядчика в случае инцидента безопасности, вызванного его небрежностью или недостаточной защитой. Это создаёт финансовый стимул для поддержания высокого уровня безопасности.

Долгосрочное управление рисками

Выдача доступа — это не конец процесса, а его начало. Долгосрочное управление рисками требует постоянного взаимодействия с подрядчиком. Установите регулярный график переоценки безопасности подрядчика. Это может быть ежеквартальная проверка критичных параметров или ежегодный полный аудит. Частота должна зависеть от критичности доступа и уровня риска. Строите доверительные отношения с подрядчиками и учитывайте их возможности. Гибкий подход, четкие договорённости и совместная ответственность помогают эффективно снижать риски. Инвестиции в обучение и поддержку партнёров окупаются быстрым и слаженным реагированием при инцидентах. Помните, что в условиях роста атак через цепочку поставок защита — это общая задача. Компания, которая требует от подрядчика высокого уровня безопасности, но не предоставляет ему инструменты и поддержку для его достижения, обречена на неудачу. Начните с малого: упростите требования, разговаривайте на понятном языке, сделайте безопасность общей задачей, а не просто набором обязательств, и вы значительно снизите риск компрометации через цепочку поставок.

Павел Малков