Российские ИТ-компании отнеслись к подрядчикам с недоверием

На фо­то (сле­ва нап­ра­во): ди­рек­тор по ин­фор­ма­цион­ной бе­зопас­нос­ти ООО "Хофф Тех" (HoffTech) Ан­дрей Шле­гель, ру­ково­дитель цен­тра ин­тег­ра­ции "МТС РЕД" Алек­сандр Ко­лес­ни­ков, ди­рек­тор де­пар­та­мен­та ин­фор­ма­цион­ной бе­зопас­нос­ти ПАО "Мос­ков­ский кре­дит­ный банк" (МКБ) Вя­чес­лав Ка­симов

Рос­сий­ские ИТ-ком­па­нии выс­ту­пили за ну­левое до­верие к под­ряд­чи­кам из-за их сла­бой ин­фраструк­ту­ры, пос­тоян­но под­вер­жен­ной ха­кер­ским ата­кам. Иг­ро­ки рын­ка ин­фор­ма­цион­ной бе­зопас­нос­ти счи­тают, что нуж­но ужес­то­чить тре­бова­ния к под­ряд­чи­ками и от­би­рать их для сот­руд­ни­чес­тва по оп­ре­делен­ным чек-лис­там.Кон­фе­рен­ция "Тер­ри­тория Бе­зопас­нос­ти 2025".

Па­вел Ко­ролев

© ComNews

04.04.2025

Проблему слабой инфраструктуры компаний-подрядчиков и высокого риска хакерских атак на них подняли игроки российского рынка информационной безопасности (ИБ) на конференции "Территория Безопасности 2025", организованной Информационной группой ComNews. Эксперты в сфере ИБ обсудили, как бороться с этой ситуацией и не ошибиться при выборе подрядчика.

"Подрядчики зачастую работают с несколькими заказчиками, соответственно у них есть доступ к множеству информационных систем. При этом очень часто безопасность у подрядчиков слабая - бюджет на информационную безопасность минимальный или отсутствует вовсе. Поэтому хакеру проще взломать подрядчика и уже с полученными данными идти дальше на инфраструктуру заказчиков", - отметил технический директор ООО "Ребренди Консалтинг" (RebrandyCo) Алексей Томилов.

"Когда у компании несколько подрядчиков, и кто-то из них обвалил сеть, возникает вопрос - а как доказать, что это не ты обвалил сеть заказчика, а какой-то другой подрядчик. Например, у нас был интересный опыт. Один из вендоров писал на своей стороне все действия на сети, которые проводил", - рассказал генеральный директор ООО "Вэб Контрол" (WebControl) Андрей Акинин.

Директор департамента информационной безопасности ПАО "Московский кредитный банк" (МКБ) Вячеслав Касимов рассказал о нулевом доверии к подрядчикам: "Одно дело, когда взаимодействуют сервис с сервисом или сервис с человеком, другое - когда предоставляется подрядчикам доступ в некую инфраструктуру. Пять компаний, являющихся нашими подрядчиками, были скомпрометированы в течение февраля-марта 2025 г. Поэтому доверия к подрядчикам нет никакого. А бизнесу не интересно жить в инфраструктуре, в которой его ждут неприятные приключения. Всем хочется стабильно в плановом режиме развиваться".

Директор по информационной безопасности ООО "Хофф Тех" (HoffTech) Андрей Шлегель поведал о практике прохождения подрядчиками отбора по чек-листам: "Бизнесу важно, чтобы решения были эффективными и безопасными. Поэтому при выборе подрядчика мы оцениваем его по определенным чек-листам, исходя из которых делаем вывод о сотрудничестве с этим подрядчиком. Вторая составляющая - обеспечение безопасного доступа в нашу инфраструктуру, минимизация его привилегий в инфраструктуре. Да и в целом происходит минимизация возможностей подрядчика на случай, если он будет скомпрометирован, чтобы не допустить большого ущерба компании".