Представители крупнейших российских компаний в рамках фестиваля Positive Hack Days 12 обсудили отраслевую специфику атак на цепочки поставок.
Директор по кибербезопасности Rambler&Co Евгений Руденко заявил, что в контексте интернет-медиахолдингов совершенно недопустима компрометация поставщиков контента, через которых медиа получают и передают данные.
Что важно, за последние годы количество атак на цепочки поставок значительно возросло: это атаки на американские госучреждения и сервисы Google, атаки на российские правительственные сайты, ситуации, когда взлом сторонних поставщиков услуг приводит к компрометации записей миллионов людей:
Рост количества инцидентов подобного рода объясняется тем, что современный интернет становится все более экосистемным: сервисы взаимодействуют друг с другом и предоставляют аналитические и прочие услуги. Интеграция увеличивает риски компрометации через поставщиков, — отметил Руденко.
Директор экспертного центра Positive Technologies Алексей Новиков считает, что рост числа атак на цепочки поставок продолжится. Он подчеркнул, что раньше внимание хакеров на российские компании было точечным, а сегодня оно существенно повысилось:
Нападения стали целенаправленными. Хакеры изучают жертву, пробуют разный инструментарий и техники, чтобы достичь желаемого результата. Контрагенты потенциальной жертвы неизбежно попадут в поле зрения злоумышленников, а следовательно, тренд на атаки на цепочки поставок усилится.
Технический директор «СДЭК» Павел Куликов уверен, что число инцидентов будет расти и потому, что IоT-сегмент, который интегрируется с аппаратным и программным обеспечением, находится на стадии интенсивного развития.
А директор по информационной безопасности Ozon Кирилл Мякишев считает, что бизнес-модель онлайн-торговли привлекает не только новых клиентов и предпринимателей, но и киберпреступников:
Наши команды ИБ и антифрода постоянно изучают последние публичные случаи кибератак, совершенствуют собственные системы и добавляют новые меры и средства защиты, чтобы обезопасить площадки.
Евгений Руденко заявил, что среди одними из критически опасных последствий атак на сторонних поставщиков, которые могут оказаться недопустимыми, станут имиджевые. Поэтому снизить такой риск поможет поддержка государства и больших игроков рынка:
Необходимо сформировать общие стандарты и сформулировать пул стандартизированных требований зрелости кибербезопасности, которые компании могли бы соблюдать. Например, при принятии решения о сотрудничестве с той или иной организацией можно будет запросить документы и убедиться, что поставщик соблюдает единые требования рынка.
Интернет-среда должна регулироваться с точки зрения кибербезопасности. Пока что для проверки уровня зрелости ИБ у нас нет ни законодательной базы, ни ресурсов.
Кирилл Мякишев добавил, что крупному бизнесу нельзя фокусироваться исключительно на защите критической инфраструктуры, «так как доступ к данным можно получить и иными способами, например через подрядчиков и партнёров». Он также обратил внимание на важность обучения сотрудников, клиентов и партнёров базовым правилам информационной безопасности.
Евгений Руденко отметил, что сотрудники департаментов ИБ должны участвовать во всех процессах компании, включаться в согласование новых проектов, договоров, архитектуры. Также, по его словам, необходимо сделать рынок цивилизованным и регламентированным, нужны понятные требования государства, которые организации обязаны соблюдать.
Эксперты поддержали идею концепции нулевого доверия (zero trust), когда обеспечение ИБ происходит в том числе благодаря одинаковому контролю всех поставщиков и контрагентов. Они отметили важность принятия мер по обеспечению безопасности в экосистеме современного интернета, а также необходимость активного сотрудничества и обмена опытом между компаниями.