Журнал "Information Security/ Информационная безопасность" #2, 2025

В современном цифро- вом мире построение и обеспечение информа- ционной безопасности тре- бует постоянного внимания и системного подхода. ЦБ РФ зафиксировал 17 подтвержденных инци- дентов у сервис-провайде- ров, обслуживающих более 70 банков, включая 13 системно значимых. По итогам расследований ФИНЦЕРТ направил финан- совым организациям свыше 80 уведомлений и пред- упреждений с рекоменда- циями по противодействию подобным атакам. Кто в зоне особого риска? Компании, наиболее уязвимые для атак через цепочки поставок, пред- ставляют ключевые сектора экономики. Особую опасность такие атаки представляют для финансовых организаций с раз- витыми цифровыми сервисами, включая банки, финтех-компа- нии и платежные системы, где злоумышленники могут полу- чить доступ к критически важ- ным данным через менее защи- щенных подрядчиков. Не менее привлекательными целями ста- новятся ИТ-разработчики, осо- бенно те, кто использует откры- тое ПО или работает на аутсор- се, поскольку компрометация их продуктов позволяет внед- рять вредоносный код в систе- мы заказчиков. Крупные медиаплатформы и онлайн-СМИ, активно исполь- зующие внешние разработки и динамический контент, также находятся в зоне риска – их взлом может привести не толь- ко к утечке данных, но и к манипуляциям с информацион- ными потоками. Сфера элек- тронной коммерции, представ- ленная маркетплейсами и тор- говлей через соцсети, уязвима из-за сложных партнерских сетей и рекламных интеграций, которые становятся лазейками для киберпреступников. Отдельную категорию риска составляют централизованные цифровые хранилища данных и библиотек, чья компромета- ция способна вызвать каскад- ные последствия для множества зависимых сервисов. В усло- виях растущих угроз компаниям необходимо пересматривать подходы к кибербезопасности, уделяя особое внимание конт- ролю над цепочками поставок и внедрению принципов нуле- вого доверия ко всем внешним участникам бизнес-процессов в цепочке поставок. С 2014 г. европейские экспер- ты по кибербезопасности пред- упреждают о растущей угрозе атак на цепочки поставок, пре- имущественно исходящих с вос- тока. В 2024 г. такие инциденты привели к глобальным убыткам в $184 млрд, при этом 54% ИТ- компаний в Европе и США столк- нулись с нарушениями бизнес- процессов из-за этих атак. Аме- риканские страховые компании приводят еще более тревожные данные: 97% их клиентов за последние два года подверга- лись подобным атакам – от физических повреждений инфраструктуры до сложных многоэтапных киберопераций. Примечательно, что если в начале 2024 г. эксперты ставили такие атаки на 10-е место в рей- тинге угроз, то к концу года они вышли на первое место в отче- тах ЦБ РФ, что подчеркивает растущую актуальность пробле- мы в глобальном масштабе. Полные данные об атаках на цепочки поставок в России в 2024 г., вероятно, доступны лишь регуляторам – ФСТЭК России и ФСБ России. Однако в финансовом секторе ФИН- ЦЕРТ Банка России регулярно публикует отчеты о кибератаках. Согласно одному из таких доку- ментов 1 , в прошлом году основ- ным вектором проникновения в банковские системы стала ком- прометация инфраструктуры подрядных организаций. Перед нами встает ключевая проблема: каким образом орга- низациям следует защищаться от этих все более изощренных атак? Ответ требует комплекс- ного подхода, сочетающего тех- нические меры с организацион- ными изменениями. "Нулевое доверие" к поставщикам Возможно, вам уже приходи- лось слышать о модели "нуле- вого доверия" (Zero Trust), осо- бенно в контексте аутентифика- ции пользователей. Он подра- зумевает необходимость повтор- ной проверки подлинности при каждой попытке выполнения юридически значимых или кри- тически важных операций. Однако когда речь заходит о взаимодействии между заказ- чиком и поставщиком услуг, модель "нулевого доверия" трак- туется экспертами как комплекс- ный подход, основанный на изначальном отсутствии доверия между сторонами – как в момент начала сотрудничества, так и в процессе его реализации. Этот подход базируется на несколь- ких ключевых принципах, кото- рые должны быть приняты обеи- ми сторонами. Во-первых, предполагается, что поставщик услуг либо вообще не обеспечивает долж- ного уровня информационной безопасности, либо его меры защиты недостаточны. Это соз- дает реальные риски для цепоч- ки поставок. Нередко после заключения выгодного контрак- та подрядчики пренебрегают защитой данных, что делает их инфраструктуру уязвимой. В случае компрометации зло- умышленники могут не только получить доступ к конфиденци- альной информации о клиентах, но и использовать ресурсы или идентификационные данные исполнителя для дальнейшего проникновения в защищенную сеть заказчика. 74 • УПРАВЛЕНИЕ Zero Trust для цепочек поставок така на цепочку поставок представляет собой многоступенчатый процесс, при котором злоумышленники наносят ущерб целевой компании, используя ее доверенных партнеров в качестве слабого звена. Вместо прямого нападения на хорошо защищенную организацию, преступники сначала компрометируют ее контрагентов – подрядчиков, сервис-провайдеров или даже открытые библиотеки кода, – чтобы затем через них проникнуть в основную систему. А Алексей Плешков, независимый эксперт по информационной безопасности 1 https://cbr.ru/Collection/Collection/File/55129/Attack_2024.pdf