Алексей Плешков, 06/06/25
Атака на цепочку поставок представляет собой многоступенчатый процесс, при котором злоумышленники наносят ущерб целевой компании, используя ее доверенных партнеров в качестве слабого звена. Вместо прямого нападения на хорошо защищенную организацию, преступники сначала компрометируют ее контрагентов – подрядчиков, сервис-провайдеров или даже открытые библиотеки кода, – чтобы затем через них проникнуть в основную систему.
Автор: Алексей Плешков, независимый эксперт по информационной безопасности
Кто в зоне особого риска?
Компании, наиболее уязвимые для атак через цепочки поставок, представляют ключевые сектора экономики. Особую опасность такие атаки представляют для финансовых организаций с развитыми цифровыми сервисами, включая банки, финтех-компании и платежные системы, где злоумышленники могут получить доступ к критически важным данным через менее защищенных подрядчиков. Не менее привлекательными целями становятся ИТ-разработчики, особенно те, кто использует открытое ПО или работает на аутсорсе, поскольку компрометация их продуктов позволяет внедрять вредоносный код в системы заказчиков.
Крупные медиаплатформы и онлайн-СМИ, активно использующие внешние разработки и динамический контент, также находятся в зоне риска – их взлом может привести не только к утечке данных, но и к манипуляциям с информационными потоками. Сфера электронной коммерции, представленная маркетплейсами и торговлей через соцсети, уязвима из-за сложных партнерских сетей и рекламных интеграций, которые становятся лазейками для киберпреступников.
Отдельную категорию риска составляют централизованные цифровые хранилища данных и библиотек, чья компрометация способна вызвать каскадные последствия для множества зависимых сервисов. В условиях растущих угроз компаниям необходимо пересматривать подходы к кибербезопасности, уделяя особое внимание контролю над цепочками поставок и внедрению принципов нулевого доверия ко всем внешним участникам бизнес-процессов в цепочке поставок.
С 2014 г. европейские эксперты по кибербезопасности предупреждают о растущей угрозе атак на цепочки поставок, преимущественно исходящих с востока. В 2024 г. такие инциденты привели к глобальным убыткам в $184 млрд, при этом 54% ИТ-компаний в Европе и США столкнулись с нарушениями бизнес-процессов из-за этих атак. Американские страховые компании приводят еще более тревожные данные: 97% их клиентов за последние два года подвергались подобным атакам – от физических повреждений инфраструктуры до сложных многоэтапных киберопераций.
Примечательно, что если в начале 2024 г. эксперты ставили такие атаки на 10-е место в рейтинге угроз, то к концу года они вышли на первое место в отчетах ЦБ РФ, что подчеркивает растущую актуальность проблемы в глобальном масштабе.
Полные данные об атаках на цепочки поставок в России в 2024 г., вероятно, доступны лишь регуляторам – ФСТЭК России и ФСБ России. Однако в финансовом секторе ФИНЦЕРТ Банка России регулярно публикует отчеты о кибератаках. Согласно одному из таких документов [1], в прошлом году основным вектором проникновения в банковские системы стала компрометация инфраструктуры подрядных организаций.
Перед нами встает ключевая проблема: каким образом организациям следует защищаться от этих все более изощренных атак? Ответ требует комплексного подхода, сочетающего технические меры с организационными изменениями.
ЦБ РФ зафиксировал 17 подтвержденных инцидентов у сервис-провайдеров, обслуживающих более 70 банков, включая 13 системно значимых.
По итогам расследований ФИНЦЕРТ направил финансовым организациям свыше 80 уведомлений и предупреждений с рекомендациями по противодействию подобным атакам.
"Нулевое доверие" к поставщикам
Возможно, вам уже приходилось слышать о модели "нулевого доверия" (Zero Trust), особенно в контексте аутентификации пользователей. Он подразумевает необходимость повторной проверки подлинности при каждой попытке выполнения юридически значимых или критически важных операций.
Однако когда речь заходит о взаимодействии между заказчиком и поставщиком услуг, модель "нулевого доверия" трактуется экспертами как комплексный подход, основанный на изначальном отсутствии доверия между сторонами – как в момент начала сотрудничества, так и в процессе его реализации. Этот подход базируется на нескольких ключевых принципах, которые должны быть приняты обеими сторонами.
Во-первых, предполагается, что поставщик услуг либо вообще не обеспечивает должного уровня информационной безопасности, либо его меры защиты недостаточны. Это создает реальные риски для цепочки поставок. Нередко после заключения выгодного контракта подрядчики пренебрегают защитой данных, что делает их инфраструктуру уязвимой. В случае компрометации злоумышленники могут не только получить доступ к конфиденциальной информации о клиентах, но и использовать ресурсы или идентификационные данные исполнителя для дальнейшего проникновения в защищенную сеть заказчика.
Во-вторых, любая передача данных между сторонами потенциально может быть перехвачена третьими лицами. Если поставщик игнорирует требования к защите информации, переданные ему сведения могут оказаться в руках злоумышленников. Особенно высоки такие риски, если обмен данными происходит через ненадежные каналы: личную электронную почту сотрудников, публичные файлообменники, мессенджеры или мобильные приложения, разработанные иностранными компаниями.
В-третьих, информация, которой обмениваются стороны, может быть изменена без их ведома в процессе передачи или хранения. Если исполнитель не предпринимает достаточных мер для защиты данных, их целостность может быть нарушена в любой момент. При отсутствии механизмов контроля, таких как цифровые подписи или регулярные проверки, ни заказчик, ни поставщик не смогут своевременно обнаружить факт несанкционированного вмешательства.
Что делать поставщикам при ограниченных ресурсах?
Для небольших сервисных компаний, не обладающих значительными бюджетами на информационную безопасность, защита от атак на цепочки поставок представляет особую сложность. В отличие от крупных корпораций с выделенными ИБ-подразделениями и дорогостоящими системами защиты, малый бизнес вынужден искать компромиссные решения, обеспечивающие базовый уровень безопасности без серьезных финансовых вложений.
Прежде всего, необходимо сосредоточиться на ключевых мерах, способных существенно снизить риски даже при ограниченных возможностях. Начать стоит с установки надежного антивирусного решения или комплексной защиты конечных устройств, которое будет регулярно обновляться и блокировать наиболее распространенные угрозы. Не менее важна строгая парольная политика: пароли длиной не менее 12 символов, использование разных алфавитов и специальных знаков, а также их периодическая смена.
Своевременное обновление программного обеспечения – еще один важный элемент защиты. Устаревшие версии операционных систем, офисных и почтовых программ часто содержат уязвимости, которыми активно пользуются злоумышленники. Автоматизация этого процесса поможет избежать многих проблем.
Настройка межсетевого экрана с четкими правилами фильтрации трафика позволит ограничить нежелательные подключения извне, а сегментация сети – разделение на рабочие, гостевые и серверные зоны – снизит риски распространения угроз в случае проникновения.
Даже при отсутствии штатного ИБ-специалиста важно, чтобы в компании был сотрудник, способный оперативно реагировать на инциденты, используя доступные инструменты мониторинга. В идеале это может быть совмещенная должность, но с четким пониманием базовых принципов кибербезопасности.
Системный подход для заказчиков
Следует сразу оговориться: не существует универсального решения, способного раз и навсегда обезопасить компанию от атак на цепочки поставок. Каждый подобный инцидент уникален и может эксплуатировать различные уязвимости – как технические, так и организационные. Вместо поиска "серебряной пули" разумнее начать с комплексного аудита: тщательно проанализировать действующих поставщиков, связанные с ними бизнес-процессы, информационные потоки и внутренние системы. Такой анализ, проведенный совместно с руководством компании, позволит выявить слабые места и определить приоритетные направления для усиления защиты.
Опираясь на экспертный опыт, можно выделить ключевые мероприятия, доказавшие свою эффективность в 2024 г. В первую очередь, это создание отлаженной системы реагирования на инциденты, включающей обучение сотрудников, разработку четких регламентов и регулярные киберучения. Не менее важно проведение независимых аудитов безопасности, позволяющих объективно оценить защищенность как внутренних, так и внешних ИТ-ресурсов.
Особое внимание следует уделить контролю доступа: внедрение многофакторной аутентификации для всех категорий пользователей значительно снижает риски несанкционированного проникновения. Одновременно необходимо развернуть систему мониторинга, способную оперативно выявлять потенциальные угрозы.
Наконец, фундаментом любой системы защиты остается человеческий фактор. Регулярное обучение сотрудников, формирование культуры информационной безопасности и повышение осведомленности персонала – эти меры часто оказываются не менее важными, чем технические решения.
Вместо выводов
Анализируя современные киберугрозы, я обнаружил парадоксальную ситуацию: при общем признании опасности атак на цепочки поставок, уровень готовности к ним в России и мире существенно различается. Экспертное сообщество единодушно отмечает растущую актуальность этой угрозы для ИТ-разработчиков, финансового сектора и цифровых медиа, однако подходы к противодействию варьируются от системного учета инцидентов с миллиардными убытками до полного игнорирования проблемы в пользу борьбы с более традиционными типами кибератакам.
Тенденция последних лет однозначно свидетельствует: мы имеем дело с хорошо организованными преступными группами, постоянно совершенствующими свои методы. Их деятельность превратилась в отлаженный конвейер с распределенной инфраструктурой и специализированными "рабочими местами" – наивно ожидать, что эта система внезапно прекратит свою работу.
Ключ к защите лежит в трех плоскостях: грамотном прогнозировании угроз (адекватная модель угроз), заблаговременной подготовке и способности оперативно выявлять и нейтрализовывать атаки. Представленные в статье рекомендации призваны помочь организациям выстроить эффективную систему защиты в этих условиях. Помните – в современном цифровом мире построение и обеспечение информационной безопасности требует постоянного внимания и системного подхода.
