Миссия невыполнима

Атаки через подрядчиков и цепочки поставок становятся все заметнее в статистике российских компаний: для злоумышленников это способ обхода защиты крупных заказчиков через менее защищенное звено. На этом фоне государство постепенно ужесточает требования к безопасности подрядных организаций, прежде всего в госсекторе и на объектах критической информационной инфраструктуры, но бизнес по-прежнему спорит о том, где проходит граница ответственности, и не станут ли новые нормы барьером для небольших игроков.

Выйти из полноэкранного режима

Развернуть на весь экран

По данным «Спикател», в 2025 году эксплуатация уязвимостей и атаки через подрядчиков составили до 12% от всех кибератак по всем отраслям. Годом ранее их было около 10%. Общее число кибератак выросло на 42% до 22 тыс. инцидентов, говорит ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов. «Солар» приводит еще более резкую динамику: по данным центра исследования киберугроз компании, к концу 2025 года 27% сложных атак начинались через доверительные отношения — это в 3,3 раза больше, чем в 2024 году, что говорит о росте популярности атак через подрядчика.

По данным, которые представители Федеральной службы безопасности регулярно приводят на своих мероприятиях и выступлениях, именно подрядчики являются основной точкой входа в инфраструктуру, и по их причине происходит большинство инцидентов в России, отмечает консультант по безопасности Positive Technologies Алексей Лукацкий. «Подрядчики считаются самым уязвимым звеном, потому что они, как правило, имеют удаленный и привилегированный доступ к системам заказчика, но при этом зачастую остаются вне поля зрения средств защиты. Это один из самых сложных для контроля векторов атаки», — говорит руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев. Технический директор «Лаборатории Касперского» в России Евгений Бударин добавляет, что для атакующих проникновение через подрядчиков позволяет провести масштабную атаку со значительно меньшими усилиями: взломав одну подрядную организацию, атакующие получают доступ к большому числу ее клиентов.

При этом оценить масштаб ущерба от таких инцидентов пока сложно. «К сожалению, никто такую статистику не вел, не ведет и вряд ли сможет ее адекватно оценивать», — говорит господин Лукацкий. Евгений Бударин уточняет, что последствия обычно шире прямых потерь: «В случае инцидента речь, как правило, идет не о прямых финансовых потерях, а о комплексных издержках. В их числе — затраты на расследование и восстановление инфраструктуры, внедрение новых процессов и решений, наем и обучение специалистов, а также устранение последствий, связанных с репутационными рисками». По словам господина Козлова, проблема усугубляется самой структурой цепочек поставок: «Подрядчик может быть связан с несколькими субподрядчиками, над которыми заказчик не имеет прямого контроля. Это расширяет поверхность атаки и затрудняет мониторинг безопасности».

С распределением ответственности ситуация остается неоднозначной. Ответственность между сторонами возникает в силу закона и договора, говорит представитель «Солар»: заказчик отвечает за выбор надежного подрядчика, а подрядчик — за качественное выполнение работ, включая ИБ. Если что-то пошло не так, ущерб покрывает виновная сторона по договору, уточняет собеседник. Но на практике, по словам Алексея Лукацкого, ответственность между заказчиком и подрядчиком в случае киберинцидента в явном виде практически никогда не прописывается. Господин Коростелев подтверждает, что зачастую эти сценарии в договорах не прописаны, потому что нужно еще доказать, что инцидент произошел по вине подрядчика, а у того может не быть нужных систем для расследования. В итоге возникает серая зона, которая серьезно беспокоит крупные организации, сетует он.

Государство, впрочем, уже выстраивает более жесткий контур регулирования. Государство создает системный контур защиты: обязательное отслеживание и реагирование на инциденты через ГосСОПКА; расширенные требования к подрядчикам значимых объектов КИИ; сертификация и контроль применения отечественных СЗИ, перечисляет директор департамента корпоративных продаж Телеком биржи Дина Фомичева.

Кроме того, с 1 марта 2026 года вступил в силу 117-й приказ ФСТЭК, согласно которому требования по ИБ становятся обязательным условием договоров с подрядчиками, а не остаются на усмотрение заказчика, продолжает директор по продуктам Servicepipe Михаил Хлебунов. Алексей Лукацкий напоминает, что требования приказа также распространяются на все государственные информационные системы, а также иные информационные системы, которые используются в госорганах. «Мы также ждем новое постановление правительства, которое детализирует требования для разных типов подрядчиков — отдельно для разработчиков, отдельно для администраторов и так далее», — добавил господин Коростелев, отметив, что пока не определен порядок, позволяющий организации оценить эффективность мер защиты, реализованных подрядчиком.

Главный вопрос — насколько эти требования вообще подъемны для малого и среднего бизнеса. По словам господина Лукацкого, малый и средний бизнес не готов к этим требованиям. «Малым и средним подрядчикам может не хватать кадров и бюджета на выполнение трудоемких требований к ИБ. Из-за этого между введением требований и их реализацией всегда есть временной лаг — он может измеряться годами», — сетует господин Козлов. Кроме того, увеличение нагрузки на любого подрядчика автоматически приводит к росту цены, отмечает Алексей Лукацкий. «Эти требования для многих подрядчиков труднодостижимы просто в силу их стоимости. Баланс еще предстоит найти, однако движение в правильном направлении очевидно», — говорит Михаил Хлебунов.

Вместе с тем Павел Коростелев предупреждает о структурных последствиях: «В итоге это неизбежно приведет к укрупнению подрядчиков, работать с госорганизациями смогут только те, у кого достаточно средств». Господин Бударин, в свою очередь, говорит о двойственном эффекте новых правил: «С одной стороны, новые требования могут ограничить конкуренцию в ряде сегментов, однако с другой — способны повысить устойчивость организаций к кибератакам через подрядчиков».

Мария Орбелиани