Слепая зона кибербезопасности

Увеличение числа атак через подрядчиков все чаще объясняют не только активностью злоумышленников, но и устройством самого рынка услуг, где крупные заказчики зависят от внешних исполнителей, которых не могут полноценно контролировать. По данным компании «Бастион» (входит в «ИКС холдинг»), доля кибератак на российские компании через подрядчиков выросла втрое за 2025 год. Такой тип атак уже несколько лет стабильно занимает высокие места в рейтингах угроз, в частности, 2-е место в 2025 года по версии IPA (Information-technology Promotion Agency, Japan). К концу 2025 года 27% сложных атак начинались через доверительные отношения — это в 3,3 раза больше, чем в 2024 году, что говорит о росте популярности атак через подрядчика, рассказал представитель ГК «Солар».

Выйти из полноэкранного режима

Развернуть на весь экран

Проблема здесь не только в росте числа таких атак, но и в том, что подрядчик для заказчика часто остается «слепым пятном». По словам консультанта по безопасности Positive Technologies Алексея Лукацкого, это связано с тем, что компании, которые привлекают подрядчиков для выполнения тех или иных работ, в состоянии самостоятельно защищать свою собственную инфраструктуру, устанавливать собственные технические и организационные требования для нее, но не те, которые есть у компании-партнера. «А самое главное — это очень сложно проконтролировать, даже если компания не способна проконтролировать саму себя, — сетует господин Лукацкий. — Поэтому большинство подрядчиков остаются незащищенными, являются слепыми пятнами с точки зрения кибербезопасности, и поэтому злоумышленники используют их для проведения атак на жертвы».

Ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов описывает ту же проблему через цепочки поставок: «Подрядчики остаются слабым звеном в первую очередь из-за сложности цепочек поставок и недостаточной видимости рисков. Подрядчик может быть связан с несколькими субподрядчиками, над которыми заказчик не имеет прямого контроля. Это расширяет поверхность атаки и затрудняет мониторинг безопасности».

Отдельная сложность в том, что доступ подрядчика зачастую уже встроен в рабочие процессы крупной компании. Подрядчики считаются самым уязвимым звеном, потому что они, как правило, имеют удаленный и привилегированный доступ к системам заказчика, но при этом зачастую остаются вне поля зрения средств защиты, отмечает руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев: это один из самых сложных для контроля векторов атак.

Во-первых, при атаке через подрядчиков злоумышленники могут провести масштабную операцию со значительно меньшими усилиями, говорит технический директор «Лаборатории Касперского» в России Евгений Бударин: взломав одну подрядную организацию, атакующие получают доступ к большому числу ее клиентов. Во-вторых, многие подрядчики — это небольшие компании, которые менее защищены, чем крупный бизнес, продолжает он. По его словам, есть и еще одна проблема: «Действия атакующих от скомпрометированной учетной записи, выданной подрядчику, часто выглядят для защитников организаций очень похожими на легитимную активность настоящих сотрудников, особенно на начальном этапе атаки». Господин Бударин также указывает, что некоторые подрядчики могут несвоевременно сообщать об инциденте всем своим заказчикам, опасаясь за репутацию, тем самым ставя их под удар.

Эта слабая видимость рисков особенно остро проявляется в сегменте малого и среднего бизнеса. Бизнес-модель большинства подрядчиков не предполагает серьезных затрат на информационную безопасность — ни финансовых, ни временных, сетует директор по продуктам Servicepipe Михаил Хлебунов. Кроме того, малым и средним подрядчикам может не хватать кадров и бюджета на выполнение трудоемких требований к ИБ, говорит господин Козлов. Из-за этого между введением требований и их реализацией всегда возникает «временной лаг» — он может измеряться годами, продолжает он. «Подрядчики не всегда готовы инвестировать серьезные средства в кибербезопасность, и взломать их инфраструктуру значительно проще, чем преодолеть защиту основных заказчиков», — добавляет господин Коростелев.

На практике это означает, что даже крупные организации, инвестирующие в собственную защиту, по-прежнему зависят от уровня зрелости небольших внешних исполнителей. Однако немногие из них способны выполнять эти требования, они не обладают должным уровнем зрелости и, как следствие, зачастую даже не имеют ни выделенных ИБ-подразделений, ни специалистов по информационной безопасности, говорит господин Лукацкий. Евгений Бударин при этом замечает, что ответом на эту проблему становится ужесточение подхода самих заказчиков: «Сохранение этого вектора атак ведет к еще большему вниманию компаний к выработке требований по информационной безопасности для партнеров, оказывающих услуги или предоставляющих свое программное обеспечение. Это необходимо для проверки уровня защищенности подрядчиков, в том числе перед тем, как начать с ними работать».

Однако даже при усилении требований фундаментальная проблема пока остается прежней: крупный бизнес все еще плохо понимает реальное состояние защиты подрядчика, а небольшие исполнители часто не могут быстро довести ее до уровня ожиданий заказчика. Именно поэтому атаки через доверительные связи остаются для компаний одним из самых сложных и трудно контролируемых векторов угроз.

Мария Орбелиани