Проблему слабой инфраструктуры компаний-подрядчиков и высокого риска хакерских атак на них подняли игроки российского рынка информационной безопасности (ИБ) на конференции "Территория Безопасности 2025", организованной Информационной группой ComNews. Эксперты в сфере ИБ обсудили, как бороться с этой ситуацией и не ошибиться при выборе подрядчика.

"Подрядчики зачастую работают с несколькими заказчиками, соответственно у них есть доступ к множеству информационных систем. При этом очень часто безопасность у подрядчиков слабая - бюджет на информационную безопасность минимальный или отсутствует вовсе. Поэтому хакеру проще взломать подрядчика и уже с полученными данными идти дальше на инфраструктуру заказчиков", - отметил технический директор ООО "Ребренди Консалтинг" (RebrandyCo) Алексей Томилов.

"Когда у компании несколько подрядчиков, и кто-то из них обвалил сеть, возникает вопрос - а как доказать, что это не ты обвалил сеть заказчика, а какой-то другой подрядчик. Например, у нас был интересный опыт. Один из вендоров писал на своей стороне все действия на сети, которые проводил", - рассказал генеральный директор ООО "Вэб Контрол" (WebControl) Андрей Акинин.

Директор департамента информационной безопасности ПАО "Московский кредитный банк" (МКБ) Вячеслав Касимов рассказал о нулевом доверии к подрядчикам: "Одно дело, когда взаимодействуют сервис с сервисом или сервис с человеком, другое - когда предоставляется подрядчикам доступ в некую инфраструктуру. Пять компаний, являющихся нашими подрядчиками, были скомпрометированы в течение февраля-марта 2025 г. Поэтому доверия к подрядчикам нет никакого. А бизнесу не интересно жить в инфраструктуре, в которой его ждут неприятные приключения. Всем хочется стабильно в плановом режиме развиваться".

Директор по информационной безопасности ООО "Хофф Тех" (HoffTech) Андрей Шлегель поведал о практике прохождения подрядчиками отбора по чек-листам: "Бизнесу важно, чтобы решения были эффективными и безопасными. Поэтому при выборе подрядчика мы оцениваем его по определенным чек-листам, исходя из которых делаем вывод о сотрудничестве с этим подрядчиком. Вторая составляющая - обеспечение безопасного доступа в нашу инфраструктуру, минимизация его привилегий в инфраструктуре. Да и в целом происходит минимизация возможностей подрядчика на случай, если он будет скомпрометирован, чтобы не допустить большого ущерба компании".