Журнал "Information Security/ Информационная безопасность" #2, 2025

Для небольших сервис- ных компаний, не обладаю- щих значительными бюдже- тами на информационную безопасность, защита от атак на цепочки поставок представляет особую слож- ность. Не существует универ- сального решения, способ- ного раз и навсегда обез- опасить компанию от атак на цепочки поставок. Каж- дый подобный инцидент уникален и может эксплуа- тировать различные уязви- мости – как технические, так и организационные. Ключ к защите лежит в трех плоскостях: грамотном прогнозировании угроз (адекватная модель угроз), заблаговременной подготов- ке и способности оператив- но выявлять и нейтрализо- вывать атаки. Во-вторых, любая передача данных между сторонами потен- циально может быть перехвачена третьими лицами. Если постав- щик игнорирует требования к защите информации, передан- ные ему сведения могут оказать- ся в руках злоумышленников. Особенно высоки такие риски, если обмен данными происходит через ненадежные каналы: лич- ную электронную почту сотруд- ников, публичные файлообмен- ники, мессенджеры или мобиль- ные приложения, разработанные иностранными компаниями. В-третьих, информация, кото- рой обмениваются стороны, может быть изменена без их ведома в процессе передачи или хранения. Если исполнитель не предпринимает достаточных мер для защиты данных, их целостность может быть нару- шена в любой момент. При отсутствии механизмов контро- ля, таких как цифровые подписи или регулярные проверки, ни заказчик, ни поставщик не смо- гут своевременно обнаружить факт несанкционированного вмешательства. Что делать поставщикам при ограниченных ресурсах? Для небольших сервисных компаний, не обладающих значительными бюджетами на информационную безопасность, защита от атак на цепочки поставок представляет особую сложность. В отличие от круп- ных корпораций с выделенными ИБ-подразделениями и дорого- стоящими системами защиты, малый бизнес вынужден искать компромиссные решения, обес- печивающие базовый уровень безопасности без серьезных финансовых вложений. Прежде всего, необходимо сосредоточиться на ключевых мерах, способных существенно снизить риски даже при ограни- ченных возможностях. Начать стоит с установки надежного антивирусного решения или комплексной защиты конечных устройств, которое будет регу- лярно обновляться и блокиро- вать наиболее распространен- ные угрозы. Не менее важна строгая парольная политика: пароли длиной не менее 12 символов, использование раз- ных алфавитов и специальных знаков, а также их периодиче- ская смена. Своевременное обновление программного обеспечения – еще один важный элемент защиты. Устаревшие версии операцион- ных систем, офисных и почтовых программ часто содержат уязви- мости, которыми активно поль- зуются злоумышленники. Авто- матизация этого процесса помо- жет избежать многих проблем. Настройка межсетевого экра- на с четкими правилами фильт- рации трафика позволит ограничить нежелательные под- ключения извне, а сегментация сети – разделение на рабочие, гостевые и серверные зоны – снизит риски распространения угроз в случае проникновения. Даже при отсутствии штатно- го ИБ-специалиста важно, чтобы в компании был сотруд- ник, способный оперативно реа- гировать на инциденты, исполь- зуя доступные инструменты мониторинга. В идеале это может быть совмещенная долж- ность, но с четким пониманием базовых принципов кибербезо- пасности. Системный подход для заказчиков Следует сразу оговориться: не существует универсального решения, способного раз и навсегда обезопасить компа- нию от атак на цепочки поста- вок. Каждый подобный инцидент уникален и может эксплуатиро- вать различные уязвимости – как технические, так и органи- зационные. Вместо поиска "серебряной пули" разумнее начать с комплексного аудита: тщательно проанализировать действующих поставщиков, свя- занные с ними бизнес-процессы, информационные потоки и внут- ренние системы. Такой анализ, проведенный совместно с руко- водством компании, позволит выявить слабые места и опре- делить приоритетные направ- ления для усиления защиты. Опираясь на экспертный опыт, можно выделить ключевые мероприятия, доказавшие свою эффективность в 2024 г. В пер- вую очередь, это создание отла- женной системы реагирования на инциденты, включающей обучение сотрудников, разра- ботку четких регламентов и регу- лярные киберучения. Не менее важно проведение независимых аудитов безопасности, позво- ляющих объективно оценить защищенность как внутренних, так и внешних ИТ-ресурсов. Особое внимание следует уделить контролю доступа: внед- рение многофакторной аутен- тификации для всех категорий пользователей значительно сни- жает риски несанкционирован- ного проникновения. Одновре- менно необходимо развернуть систему мониторинга, способ- ную оперативно выявлять потен- циальные угрозы. Наконец, фундаментом любой системы защиты остает- ся человеческий фактор. Регу- лярное обучение сотрудников, формирование культуры инфор- мационной безопасности и повышение осведомленности персонала – эти меры часто оказываются не менее важны- ми, чем технические решения. Вместо выводов Анализируя современные киберугрозы, я обнаружил пара- доксальную ситуацию: при общем признании опасности атак на цепочки поставок, уро- вень готовности к ним в России и мире существенно различает- ся. Экспертное сообщество еди- нодушно отмечает растущую актуальность этой угрозы для ИТ-разработчиков, финансового сектора и цифровых медиа, однако подходы к противодей- ствию варьируются от систем- ного учета инцидентов с милли- ардными убытками до полного игнорирования проблемы в пользу борьбы с более тради- ционными типами кибератакам. Тенденция последних лет одно- значно свидетельствует: мы имеем дело с хорошо организо- ванными преступными группами, постоянно совершенствующими свои методы. Их деятельность превратилась в отлаженный кон- вейер с распределенной инфра- структурой и специализирован- ными "рабочими местами" – наив- но ожидать, что эта система вне- запно прекратит свою работу. Ключ к защите лежит в трех плоскостях: грамотном прогно- зировании угроз (адекватная модель угроз), заблаговремен- ной подготовке и способности оперативно выявлять и нейтра- лизовывать атаки. Представлен- ные в статье рекомендации при- званы помочь организациям выстроить эффективную систе- му защиты в этих условиях. Пом- ните – в современном цифровом мире построение и обеспечение информационной безопасности требует постоянного внимания и системного подхода. l • 75 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru