Игроки нефтегазовой отрасли на XI федеральном форуме по ИТ и цифровым технологиям Smart Oil & Gas 2025, организованным информационной группой ComNews, обсудили проблему информационной безопасности в отрасли. Они сошлись во мнении, что в цепочке поставок наиболее уязвимыми являются поставщики.

"В ближайшие пять лет злоумышленники будут активно применять искусственный интеллект. Они уже подделывают голос и видео, дальше это будет происходить в более крупных масштабах. Также злоумышленники умеют считать деньги и понимают, что им проще найти валидные пары логина и пароля, и таких случаев взлома тоже станет больше. Кроме того, подрядчики, контрагенты и прочие компании в цепочке поставок увеличивают поверхность атак, и злоумышленники этим пользуются", - отметил руководитель BI.ZONE Brand Protection, ООО "БИЗон" (BI.ZONE) Дмитрий Кирюшкин.

ИТ-эксперт АО "ИТ Эксперт" Сергей Фокин рассказал, что атак уже слишком много, но многие из них замалчиваются: "Многие компании отрасли попадают под удар злоумышленников. Но мало кейсов озвучивается. Известные кейсы только у компаний, работающих на публичный сервис. И это самая большая проблема, что мы не можем опираться на чужой опыт, который просто не афишируется. В целом по индустриальному сектору не хватает открытости".

Руководитель-методолог Энерго ЦИБ ассоциации "Цифровая энергетика" Дмитрий Правиков назвал поставщиков самыми уязвимыми: "Одна из актуальных угроз в цепочке поставок - это сами поставщики, которые зачастую пренебрегают мерами безопасности и ставят под угрозу заказчиков. Каких-то целенаправленных действий по обеспечению безопасности в цепочке поставок в настоящее время я не вижу. Управление информационной безопасности нуждается в развитии. Решив этот вопрос, мы перейдем и к управлению безопасности в цепочке поставок".

Эксперт по информационной безопасности Алексей Стешин согласился с проблемой в безопасности цепочки поставок: "Этап проверки безопасности проскакивает практически сквозняком. Мы как заказчики, увидев огромную пользу продукта, можем не глядя внедрить системы, которые под капотом в лучшем случае будут иметь open source, а в худшем - много скрытых уязвимостей. Это одна из самых серьезных угроз. Очень часто заказчик не может самостоятельно проверить продукт на безопасность, а компания-разработчик не считает нужным это делать - государство пока не заставляет".

Директор по работе с ключевыми заказчиками ООО "Протекшен Технолоджи" Дмитрий Волосенков напомнил о ФСТЭК: "Для решения проблемы существует ФСТЭК. Заказчик может просить у разработчика проверить хотя бы какой-то самый простейший уровень, например на заимствованный код, не говоря уже о старших уровнях доверия. И это решит проблему тех самых троянов, о которых мы не знаем".

"В ИТ нормы кибербезопасности - уже неотъемлемая часть. Все подрядчики, которые оказывают услуги для компании, имеют определенные нормы и требования. Одно из них - это прозрачность подрядчиков. Специалисты ИБ становятся более открыты для ИТ. Раньше они просто требовали не использовать определенные устройства. Сейчас уже между специалистами идет более предметный диалог", - отметил Сергей Фокин.

"Мы в ассоциации "Цифровая энергетика" для защиты программного обеспечения от возможных угроз разработали методику самотестирования, которую предлагаем стартапам, пока не имеющих денег на сертификацию. Эта методика как раз и является решением, которая позволяет самостоятельно проверять продукты", - рассказал Дмитрий Правиков.

"Нам пора задуматься о единой системе сертификации и аттестации по кибербезопасности. Это направление влияет на общую безопасность всех предприятий", - подытожил руководитель направления развития решений InfoWatch ARMA (ООО "ИнфоВотч АРМА", входит в ГК "ИнфоВотч") Михаил Яблоков.