Как ИТ-бизнесу выстроить эффективную и безопасную работу с подрядчиками, рассказывает IT-World.
По данным компании в сфере информационной безопасности CICADA8, более чем у половины ИТ-подрядчиков незащищенным остается минимум один порт для доступа в систему. Это повышает риски для ИТ-бизнеса и усиливает угрозу, а вопрос ответственности за сохранность внутренних данных часто остается «в серой зоне». О том, как минимизировать риски и выстроить безопасное взаимодействие, рассказывает Кристина Левицкая, директор департамента страхования финансовых рисков и профессиональной ответственности «А.Р.С.Консалтинг».
Где прячется риск
Что делать, если подрядчик нарушил информационную безопасность компании? Формально компания имеет право переложить ответственность за несовершенства или нарушение информационной безопасности на подрядчика. Для этого необходимо заранее прописать ответственность в договорах, SLA и регламентах. Однако именно на этом этапе компании очень часто совершают ошибки. Заказчики нередко доверяют именитому поставщику услуг и проработанным юридическим формам в «типовых» договорах оказания услуг, лицензионных соглашениях, которые нельзя править.
Как стать хорошим подрядчиком для крупного клиента
Приведем пример из практики, когда ИТ-компания предвидела риски утечки в договоре с ИТ-подрядчиком. Предприятие-работодатель заключило договор с ИТ-компанией на предоставление лицензии на платформу, где будут обрабатываться персональные данные сотрудников предприятия. Провайдер неполно отразил в лицензионном договоре положения, связанные с обработкой персональных данных сотрудников. Возникает вопрос: как компании-работодателю исключить риски утечки данных и оправдать высокую ответственность за данные персонала? В этом случае решением стала тщательная юридическая проработка документации. В результате по рекомендациям к договору было прикреплено приложение — поручение на обработку персональных данных, где по пунктам прописывались механизмы защиты на стороне провайдера и обозначена ответственность.
Важно предусмотреть риски, оценить и распределить их по значимости до того, как они проявились. Кроме того, риски необходимо регулярно пересматривать ввиду постоянных изменений в законодательстве, внешних событий, человеческого фактора и т. д. В противном случае компания может столкнуться с финансовыми издержками и репутационными рисками уже в процессе урегулирования конфликта.
Советы, как предотвратить риски при работе с ИТ-подрядчиками
Сфокусируйтесь на рисках с высокой значимостью
У каждой компании свой риск высокой значимости: для сервиса авиабилетов это перерыв в деятельности из-за хакерской атаки, для банка — потеря ликвидности и неспособность выполнить обязательства по вкладам и т. д. Определите тот риск, который делает вашу компанию наиболее уязвимой, и стремитесь к максимальному контролю над ним.
Внимательно изучайте операционные процессы и продукты: какая информация там содержится и обрабатывается, какие регуляторные требования предъявляются на каждом этапе и другие аспекты.
Опыт работы с представителями бизнеса показывает, что политика в отношении обработки персональных данных или правила внутреннего контроля организации объемом десятки-сотни страниц вызывает затруднения. Многие предпочитают заменить эти документы короткими шаблонами из Интернета. Но чтобы такой документ стал рабочим инструментом по управлению рисками организации, необходимо его тщательно подготовить на основе детального разбора процессов организации. Это кросс-функциональная задача, требующая участия сразу нескольких экспертов (риск-менеджера, операционного директора и т. д.).
Изучайте портрет ИТ-подрядчиков
На этапе выбора ИТ-подрядчика важна каждая деталь: сертификаты, лицензии, собственные технические мощности, подход к рискам, юридическая проработанность документов, прозрачность процесса, постподдержка, опыт в релевантных проектах, особенно там, где речь идет о требованиях регуляторов, — 115-ФЗ, 152-ФЗ и ГОСТ.
Оценивайте риски и привлекайте экспертов по безопасности
Используйте подход DevSecOps — когда безопасность интегрируется поэтапно, начиная с процесса разработки проекта и заканчивая постоянным мониторингом. Для качественной оценки рисков можно привлечь профессионалов для аудита, страховщиков, которые работают в сотрудничестве с внешними инфобезопасниками.
Человеческий фактор — наиболее частая причина, из-за которой происходит большинство атак организаций. Проводите регулярное обучение сотрудников правилам информационной безопасности и работе с ИТ-подрядчиками, чтобы избежать рисков для бизнеса.
Как бизнесу застраховаться от рисков?
Полис страхования информационных рисков позволяет компенсировать расходы, возникающие при внешних атаках на системы страхователя. Например, такой полис покрывает затраты на услуги сторонних экспертов для оценки и урегулирования инцидентов. Кроме того, полис пригодится в случае привлечения ИТ-подрядчиков для восстановления баз данных после атак шифровальщиков (расходы на восстановление инфраструктуры могут достигать сотен миллионов рублей). Если произойдет перерыв в бизнесе, полис покроет убытки от простоя цифровых сервисов, что критично для компаний с высокой долей онлайн-продаж.
Часть рисков можно покрыть также полисом профессиональной ответственности ИТ-компаний, хотя этот продукт, по нашим наблюдениям, не пользуется активным спросом на российском рынке. Полис может покрыть расходы в отношении требований заказчика в связи с неверным профессиональным действием ИТ-разработчика. В нашей практике был опыт размещения такого покрытия, которое включало страхование ущерба в случае ошибки в коде или уязвимости в приложении, а также покрытие расходов судебных издержек.
Что киберстрахование значит для ИТ-бизнеса?
По нашим наблюдениям, в период с 2022 по 2026 год сегмент киберстрахования все еще находится в процессе развития в России. Это доказывает и тот факт, что большинство компаний, которые понесли убытки вследствие недавних киберинцидентов, не имели полисов. Новости о кибератаках порождают всплеск запросов к страховщикам на ИТ-страхование, однако этот тренд не задерживается надолго. Дело в том, что компании не всегда готовы делиться со страховщиками информацией о ПО, процессах и политиках, а продукты ИТ-страхования остаются вторичными при планировании бюджета.
В 2026 году «зрелость» бизнеса — это не отсутствие инцидентов, а готовность к ним. Сочетание строгих технических мер с гибкими финансовыми инструментами, такими как киберстрахование и ответственность ИТ-разработчиков, формирует устойчивость бизнес-процессов.