Фото: ИТ Диалог
Атаки через подрядчиков из «редких кейсов» превратились в один из ключевых сценариев киберпреступников — ФСБ уже называет этот вектор угрозой номер один для российского рынка ИБ. erid: 2W5zFJ3Fkv4
ООО РУПОСТ Реклама
Чем активнее бизнес и госструктуры выносят ИТ-функции на аутсорсинг, тем шире становится реальный периметр атаки, и в него попадают интеграторы, разработчики, облачные провайдеры, сервисные компании. При этом требования регуляторов и ожидания заказчиков растут быстрее, чем зрелость процессов информационной безопасности у многих исполнителей. Участники круглого стола на форуме «ИТ-Диалог» обсудили, почему старый вопрос доверия к подрядчику превращается в стратегический риск и что реально помогает снизить вероятность взлома «по договору подряда», а не только по основному контуру.
Содержание:
Когда чужие руки открывают ваш периметр
ИБ-профессионалы быстро сошлись в одном: это не новая проблема, а старая уязвимость, которая просто стала лучше видна. Алексей Батюк (Positive Technologies) напомнил, что раньше инциденты «тонули» в непрозрачности, так как не было выстроенного мониторинга, никто не выносил взломы на публику. Сейчас и заказчики, и вендоры чаще говорят об инцидентах, а за рубежом атаки на подрядчиков вообще стали частью открытой повестки — если подломили провайдера, то автоматически страдают крупные заказчики и это неминуемо всплывает в новостях. В России таких кейсов по-прежнему меньше в публичном поле, но это не значит, что их нет.
По мере того, как бизнес все активнее уходит в аутсорсинг, количество точек входа для атак растет. Типичная для сегмента SMB картина: десятки подрядчиков, на которых вынужденно выносятся и вспомогательные, и иногда ключевые системы, потому что держать все компетенции внутри экономически бессмысленно. Формальный реестр внутри компаний часто есть, но он «не такой, каким должен быть» — процессы еще в трансформации, считает Анастасия Гайнетдинова (Whoosh). Тем не менее по каждому подрядчику компания как минимум фиксирует обязательный пакет договорных документов и дает двойную оценку рисков. со стороны продукт-менеджера, который отвечает за бизнес-результат, и со стороны финансов. Хорошо, если на хотя бы на договоры, связанные с разработкой или покупкой ПО смотрит ИБ специалист – тогда ещё оцениваются риски со стороны ИБ
Для государства ситуация сложнее еще и из-за 44-ФЗ. Наталья Никольская (Республика Карелия) фактически призналась, что завидует компаниям, которые могут сами собирать и ограничивать пул партнеров, так как у региональных органов власти нет возможности заранее «отобрать» безопасных подрядчиков — конкурс не позволяет предсказать, кто победит, а значит, и сколько новых внешних исполнителей появится в периметре. Даже если проверка показала слабую зрелость ИБ, отказаться после заключения контракта нельзя. Остается ужесточать допуск к своим системам, требовать установки и фотофиксации средств защиты на рабочих местах подрядчика, по возможности переводить критичные работы в очный формат, когда специалисты приезжают на площадку заказчика.
При этом регуляторное давление асимметрично. Несмотря на то, что 117-й приказ ФСТЭК впервые прямо увязал уровень защиты подрядчика с требованиями заказчика и обязал исполнителей знакомиться с его документацией по ИБ, до реального выравнивания еще далеко. У госзаказчика растет объем требований и ответственности, а штат не увеличивается; у подрядчика же нет ни таких обязанностей, ни стимулов вкладываться в безопасность на сопоставимом уровне.
Когда приказ один, а платят двое
117-й приказ ФСТЭК, о котором говорили регионы, фактически распространил жесткие требования госзаказчиков на всех, кто получает доступ к их системам. С одной стороны, это дает ИБ-подразделениям долгожданный аргумент в диалоге с внешними исполнителями: «Это не наши хотелки, это пункт приказа, его надо делать». С другой — неизбежно поднимает цену контракта: вложения подрядчика в средства защиты и процессы он будет отбивать за счет бюджета заказчика. При этом регуляторное поле многослойное: ФСТЭК задает требования к защите, ФСБ через ГосСОПКА видит и «тыкает палочкой» в аномалии, которые сам регион может не заметить, Роскомнадзор следит за персональными данными. Для региональных ИТ-ведомств это одновременно и дополнительная нагрузка, и возможность опереться на формальные нормы в работе с партнерами.
Финансовый сектор в этой истории оказался «первой линией фронта» и, как напомнил Артем Калашников (Газпромбанк), раньше других выстроил системные правила игры с подрядчиками. Помимо общегосударственных требований, банк внедрил собственные стандарты по аутсорсингу, и это резко сократило число инцидентов: отсеялся весь трафик атак, который раньше проходил «на шару». Логика злоумышленников проста: напрямую лезть в крупный банк дорого — периметр укреплен, атака требует ресурсов и времени. Значительно выгоднее подобрать несколько слабых звеньев в окружении из числа трех-пяти компаний, работающих с финансовой организацией, и заходить через них, пробуя разные сценарии. Ответом стали жесткие правила для подрядчиков, получающих доступ к финансовой инфраструктуре или данным: без них сектор не чувствовал бы себя устойчиво, а клиентам было бы гораздо сложнее доверять цифровым сервисам. Для остальных отраслей это, по сути, готовый чертеж — пока регуляторные требования только догоняют практику, экономическая мотивация атак через подрядчиков уже давно работает в полную силу.
На стороне менее зарегулированных отраслей картина выглядит иначе. В агрохолдинге «Русагро» формально никто не заставляет выстраивать сложные контуры контроля подрядчиков, и, как признает Вера Орлова, компания «гораздо более вольная» по сравнению с государственными структурами и банками. Это не отменяет рисков, но позволяет считать баланс между ценой услуги и ценой потенциального ущерба. Базовый инструмент — анкетирование еще на стадии RFI. Потенциального поставщика сразу «просвечивают» на предмет зрелости ИБ — какие документы есть, какие СЗИ используются, где локализована инфраструктура, откуда работают сотрудники и готовы ли они играть по правилам агрохолдинга. Дальше вопрос ставится предельно прагматично: насколько данный подрядчик рисковый и готовы ли вообще с ним работать с точки зрения ИБ.
Финансовый сектор, наоборот, выстраивает избыточную, по меркам других отраслей, систему фильтров. Газпромбанк, как рассказал Артем Калашников, поверх требований регуляторов ввел для всей группы компаний свой стандарт оценки, этот же стандарт может использоваться для подрядчиков. Процесс начинается с профилирования: отрасль, размер компании, уровень ее защиты. Подрядчик заполняет детализированную анкету на платформе, на основе которой строится «радар» текущего уровня ИБ и целевой модели. Система полуавтоматически формирует план доработок со сроками, а дальше включается ручной контроль: формальные отчеты не принимаются, банк запрашивает содержательные артефакты, при необходимости направляет своих специалистов или заказывает внешний аудит. Для критичных контрагентов в этот пакет входят не только документарные проверки, но и регулярные пентесты как своих, так и дочерних компаний и тех подрядчиков, которые согласны на такую глубину.
Подрядчик под прицелом, или Как живется на стороне провайдера
В дискуссии о «атаках через подрядчиков» закономерно прозвучал и голос самой подрядной стороны. Денис Полянский из Selectel напомнил, что крупные сервис-провайдеры волей-неволей оказались одними из самых «зарегулированных» игроков на рынке, они одновременно обслуживают госзаказчиков, банки, крупный бизнес и малые компании, а значит, автоматически попадают под весь набор требований — от ФСТЭК и Роскомнадзора до отраслевых стандартов ЦБ. В ответ провайдеры выстраивают собственный «базовый уровень доверия»: собирают пакет сертификаций и аттестаций по российским и международным стандартам, чтобы говорить с заказчиками на одном языке и максимально соответствовать запросам рынка. Дальше поверх этого надстраиваются уже индивидуальные опросники, чек-листы и очные визиты, когда заказчик хочет своими глазами увидеть ЦОД и инфраструктуру, к которой будет привязана его система. Киберустойчивость вместо «бетонной» защиты Федор Ложкин: «MES дает зеркальное отражение хода производства» Образовательные проекты ИТ-компаний и вузов. Обзор IT-World
Нагрузка регуляторики, по словам спикера, теперь чувствуется не только на стороне провайдеров, но и у их клиентов. Особенно болезненно 117-й приказ ФСТЭК ударил по малому и среднему бизнесу: компании, которые «просто жили в облаке», внезапно обнаружили, что, работая с госструктурами, должны проходить аттестацию и выполнять меры защиты, аналогично самим госструктурам. В итоге Selectel, как сервис-провайдер часто выступает еще и экспертом-консультантом, помогая клиенту понять, что и как именно нужно сделать на его стороне, какие меры можно реализовать в облаке, а где ответственность уже на самом заказчике.
Отдельный пласт разговора — постоянный контроль подрядчиков через SOC и SIEM. Артем Калашников описал практику, при которой внешних исполнителей и дочерние общества подключают к внешнему центру мониторинга, и по инцидентам и событиям можно судить, занимается ли компания реальным повышением защищенности или «отчитывается на бумаге». Набор подключаемых источников (какие логи, какие сервисы) определяется по итогам оценки текущих возможностей подрядчика, квалификации его персонала и экономических ограничений: «деньги не бесконечны», поэтому глубина мониторинга подстраивается под критичность и готовность самой компании.
При этом и банки, и розничные холдинги подчеркивают: право «зайти внутрь» подрядчика не возникает само по себе, его нужно зафиксировать заранее. Иван Шепелев из X5 сравнил этот момент с браком: все ключевые условия обсуждаются до «свадьбы», на этапе договора. Типовое допсоглашение по ИБ сразу закладывает максимальный набор полномочий заказчика — от опросников и выездных аудитов до проверок третьей стороной. Дальше в диалоге с юристами и безопасниками стороны могут «сбавить градус», но база уже зафиксирована. Если этого не сделать в контракте, то потом, по словам Ивана, «замучаешься убеждать»: подрядчик перестанет быть партнером по безопасности и превратится в еще одну непрозрачную точку входа в инфраструктуру.
Кто платит за безопасность?
Тема денег и регуляторики быстро вывела разговор из технической плоскости в очень приземленную: как вообще заложить безопасность подрядчиков в контракты и не развалить закупку. Замминистра ИТ Челябинской области Елена Лукашина призналась: с 2020 года регион пытается включать в договоры требования по безопасной разработке и защите, но каждый раз упирается в «плюс 50% к контракту» со стороны контрагентов. Сейчас удалось «доторговаться» до «плюс 30», и лишь теперь появляются шансы что-то реально закрепить в торгах по 44-ФЗ. Для госзаказчиков, связанных конкурсными процедурами, любой дополнительный пункт по ИБ автоматически превращается в риск проваленного тендера или непредсказуемого удорожания.
С высоты «большого дома» Алексей Батюк из Positive Technologies напомнил и другую сторону медали: российская нормативка в ИБ действительно одна из самых развитых, но объем требований таков, что «любой эксперт открывает документы и приходит в ужас». Вопрос в том, способны ли заказчики (не говоря уже о подрядчиках) выполнять все, что написано. Отсюда неизбежный поиск баланса между галочками комплаенса и реальной результативностью защиты. В Positive для ключевых подрядчиков и партнеров делают ставку на практические методы: взаимные оценки, участие в кибериспытаниях и проверку на платформе, где в динамике выявляется, достигаются ли заданные «недопустимые события». Эксперт ожидает, что эта логика будет постепенно подхвачена регулятором: поправки в 149-ФЗ уже обсуждают статус киберследователей и платформ кибериспытаний, и в перспективе это может стать инструментом объективной оценки безопасности подрядчиков, а не только набором бумажных требований. Читайте также
Александр Синелобов: «Мы строим не просто «цифровое правительство», а «умный регион» Связь в сельской глубинке, умные сервисы для горожан, собственная модель управления «через данные» и активное внедрение ИИ — Нижегородская область выстраивает цифровую экосистему региона как целостный проект. Как меняются задачи региональной власти, какие решения уже можно масштабировать на другие субъекты и почему главным показателем успеха становятся сэкономленные минуты жизни граждан, IT-World обсудил с министром цифрового развития и связи Александром Синелобовым.
Когда отказаться нельзя. Госзаказчик, монополист и «кровавое» легаси
Далеко не у всех заказчиков есть роскошь «не подписывать контракт». В госсекторе ситуация, по словам Натальи Никольской, нередко выглядит как «страшная сказка Андерсена для взрослых»: один-единственный разработчик много лет сопровождает критичную систему на десятки тысяч пользователей, и формально выигравший по 44-ФЗ подрядчик может игнорировать опросники, требования по безопасности и даже минимальные процедуры проверки. Отказаться от контракта — значит схлопнуть систему и оставить пользователей без привычного сервиса, на который завязаны реальные государственные функции.
Наталья напомнила, что у региональных ИТ-служб нет «подушки» ни по людям, ни по бюджету, а сверху постоянно приходят новые требования регуляторов — «два раза в неделю инструкции “сделай то, сделай это”». Безопасники этому объективно рады, потому что получают формальный мандат на ужесточение режима, но для ИТ и пользователей это оборачивается постоянным конфликтом при неизменном штате. В такой конфигурации «идеальная модель» проверки подрядчика через кибериспытания и регулярные аудиты превращается в недостижимый эталон: зачастую максимум, что удается сделать, — полностью перекрыть удаленный доступ подрядчикам и жить по принципу «мы никому не верим», принимая все риски и нагрузку на себя.
Эксперты из коммерческого сектора предложили два стратегических сценария для подобных кейсов. Первый — выстраивать компенсирующие меры вокруг монопольного подрядчика: жестко резать онлайновый доступ в инфраструктуру, переводить поддержку в очный формат, привлекать доверенную третью сторону для анализа исходного кода и релизов, накладывать дополнительные средства защиты и жесткий харденинг на стороне заказчика. Второй — готовить долгую, но неизбежную замену системы: искать альтернативы, закладывать проект миграции с учетом импортозамещения, максимально кастомизировать интерфейсы и сценарии, чтобы снизить сопротивление пользователей. Это фактически тот же путь, что уже прошли многие организации при переходе с зарубежного ПО на отечественные решения: болезненно, долго, но иначе «заложничество у подрядчика» так и останется постоянным источником уязвимостей, который никакие приказы и инструкции сверху сами по себе не закрывают.
Где заканчивается подрядчик и начинается заказчик
Даже если утечка или взлом произошли на стороне интегратора, для гражданина существует один объект доверия — банк, регион, сервис. Как заметила Анастасия Гайнетдинова, любые ссылки на «сломался подрядчик» не спасают бренд от удара по репутации: конечный пользователь не разделяет внутреннюю кухню цепочки поставок.
При этом юридически и управленчески разделять риски все же приходится. Крупные компании считают репутационные потери в деньгах, включают их в модели риска и в договоры, требуют от партнеров не только SLA, но и готовности взять на себя часть затрат при инциденте. Но здесь возникает новый тупик, так при нынешних оборотных штрафах за утечку персональных данных размер потенциальных санкций нередко превышает годовую прибыль подрядчика. Формально ущерб можно «повесить» на интегратора, а по факту — компания разорится, и взыскивать окажется не с кого.
На этом фоне звучит предложение ужесточить правила хотя бы для тех сегментов, где сбой особенно болезнен для общества: субъектов КИИ и ключевых госкомпаний. Логика, которую озвучила Вера Орлова, проста: для таких игроков должны действовать допуски по уровню безопасности подрядчика — базовые СЗИ, аудит, прозрачная локализация инфраструктуры. Контрагенты «ниже планки» просто не смогут участвовать в конкурсах. Для обычной коммерции, наоборот, решение о риске должно оставаться делом самой компании.
Региональные ИТ-блоки смотрят на идею «сильного госрегулирования» осторожнее. Любое новое требование к рынку подрядчиков в итоге превращается в рост цен на контракты и дополнительную нагрузку на бюджет — об этом напомнила Елена Лукашина на примере недавних изменений фискальной нагрузки на ИТ. Те же опасения звучат и у подрядчиков: 117-й приказ ФСТЭК уже распространил на них требования ГИСов, заставив наследовать класс защищенности и, по сути, жить по правилам КИИ-объектов. Для многих это означает дорогие аттестации и перестройку процессов, иногда несоразмерные реальному объему и чувствительности данных.
Общий вывод, который постепенно оформился за столом: бесплатной кибербезопасности не бывает. Либо платит заказчик (через бюджеты и тарифы), либо подрядчик (через рост издержек и уменьшение маржи), либо и в конечном счете — граждане, если ничего не делать и расплачиваться инцидентами. Компромисс участники видят в комбинированной модели: жесткий входной фильтр и государственные «правила игры» для цепочек поставок в критичных сферах — и более гибкий, риск-ориентированный подход в остальном бизнесе, где компании осознанно выбирают, за какие риски они готовы платить.
После спора о том, как вообще считать ущерб от атак через подрядчиков, разговор ушел в зону, где деньги перестают быть главным измерителем. Артем Калашников напомнил: в коммерции риск давно завязан на методики подсчета убытков — прямых, косвенных, репутационных. Но для государства все упирается в политические и социальные последствия, которые нельзя правильно посчитать в рублях. Для регионального ИТ- и ИБ-руководителя это превращается в уравнение с «бесконечностью» в правой части: формально считается ущерб от простоя и сбоев, но фактически на кону его личная ответственность и устойчивость целых сервисов, от которых зависят граждане.
Страхование киберрисков
Отдельный блок — попытки страховать киберриски. По словам Дениса Полянского, совместный опыт сервисов со страховой компанией показал, что многие клиенты воспринимают полис как индульгенцию: «застраховались — значит, можно ничего не делать с безопасностью». При этом именно для малого и среднего бизнеса страхование могло бы стать рабочим инструментом, когда собственный контур ИБ еще не дотягивает до зрелого уровня, а штрафы и убытки потенциально смертельны.
Артем Калашников, стоявший у истоков развития киберстрахования еще в Центробанке, четко отделил ожидания от реальности. Киберстраховка — не средство защиты, а компенсационный инструмент. Закон о страховом деле прямо запрещает страховым компаниям покрывать последствия противоправных действий, поэтому ни один полис не закроет штраф регулятора за нарушение 152-ФЗ или требований по КИИ. Зато страхование может покрывать прямые финансовые потери, услуги юристов при исках клиентов, работу по очистке информационного поля и восстановлению репутации. В идеальной модели, подчеркнул он, это временная подпорка для тех, кто осознанно выносит часть рисков на страховую, пока не успел построить полноценную систему защиты, а не способ переложить ответственность с заказчика на провайдера, регулятора или «сильную руку государства».
Со стороны крупного бизнеса Вера Орлова («Русагро тех») описала, как это выглядит на практике. Даже если компания считает реальные потери от простоя и выходит на адекватную страховую сумму, в полис неизбежно попадают крупная франшиза и «период ожидания» в один-два дня, когда производство уже стоит, а страховка еще не работает. Для отраслей с непрерывным циклом это фактически означает, что самые болезненные первые сутки инцидента остаются на собственном балансе. Еще сложнее становится, когда речь об атаках через подрядчика: в логах заказчика все выглядит как легитимная активность доверенного аккаунта или штатная работа ПО. Без логов и добровольного участия самого подрядчика доказать его вину почти невозможно, а если ущерб велик, у подрядчика возникает очевидный стимул затягивать или оспаривать расследование. В результате схему «нас взломали через подрядчика, пусть ущерб покроет страховка» участники обсуждения оценили как мало реализуемую в реальности — по крайней мере до изменения практики и судебных подходов. При этом киберстрахование как класс инструмента Вера считает перспективным: спрос растет, рынок сырой, но «будущее за страховками», если они научатся грамотно работать с цифровыми рисками.
Для государственного сектора картина еще более жесткая. Наталья Никольская признала: идея киберстрахования для органов власти сейчас выглядит почти нереализуемой. Юристы вряд ли согласятся тратить бюджетные деньги на полис, который формально пытается «подстраховать» недосмотр самого заказчика. В логике госуправления виноват будет не подрядчик и не абстрактный «рисковый ландшафт», а должностное лицо, которое не предусмотрело мер защиты и не локализовало угрозу. «Что именно страховать — мое незнание, мою некомпетентность?» — этим вопросом она, по сути, закрыла тему. Аудиты ИБ проходят регулярно, но формальных механизмов киберстрахования для госорганов ни на практике, ни в законе о страховом деле пока нет — фактический правовой вакуум.
Вывод такой: киберстрахование может быть полезной компенсационной опцией и для бизнеса, и потенциально для атак через подрядчиков, но оно не снимает ни технической, ни юридической, ни управленческой ответственности. Там, где риски связаны с критичными госфункциями и монопольными подрядчиками, никакая страховка не заменит выстроенные процессы, прозрачные контуры взаимодействия и политическую волю брать на себя решения, а не только переносить риски в текст договора.
Без единого рецепта, но с понятным вектором
Универсального способа «поставить подрядчиков под замок» не существует — да это и не цель. Как подчеркнул модератор круглого стола Алексей Лукацкий, за одним столом сидели те, кто представляет госуправление и КИИ, крупный бизнес и сервис-провайдеров, заказчиков и подрядчиков. У каждого — своя степень зарегулированности, свои ограничения по людям и бюджету, свой горизонт риска. Поэтому вместо «волшебной таблетки» круглый стол дал участникам набор ориентиров и практик, которые можно адаптировать под свою реальность. Читайте также
Вторая национальная платежная система. Что даст альтернатива? Кулуарные беседы о необходимости в РФ альтернативной Национальной платежной системы, которые велись последние 2 года, перешли, наконец, в стадию реальных публичных обсуждений. Три крупнейших розничных банка – Сбер, Альфа-Банк и Т-Банк – объявили о старте разработки концепции. Предполагается, что альтернативная платежная система будет строиться на инновационных платежных технологиях, и будет независимой технологически и юридически.
Общий знаменатель достаточно ясный. Во-первых, цепочка подрядчиков окончательно признана одним из главных векторов атак — и эта проблема будет только усугубляться по мере усложнения инфраструктур и роста аутсорсинга. Во-вторых, зрелые игроки уходят от формального комплаенса: вместо опросников «для галочки» появляются собственные стандарты, риск-ориентированное ранжирование провайдеров, регулярные аудиты и кибериспытания, подключение критичных контрагентов к SOC и SIEM, а для КИИ и госструктур — диалог с регуляторами о том, как совместить требования 44-ФЗ, 117-го приказа и практическую взломоустойчивость. В-третьих, и заказчики, и подрядчики начинают говорить не только о разделении технической ответственности, но и о репутационных и юридических последствиях, киберстраховании и договорных механизмах, которые должны работать и в «штатном режиме», и в день инцидента.
По сути, «взлом через подрядчиков» — не аномалия, а новая норма угроз, с которой придется жить годами. Значит, фокус смещается с поиска идеального контроля на выстраивание партнерской экосистемы: понятные правила, прозрачность рисков, готовность делиться логами и инцидентами, совместные учения, инфраструктура мониторинга, доступная не только гигантам, но и средним игрокам.
Журнал IT Manager
Ольга ПоповаГлавный редактор IT Manager
Информационная безопасностьКиберугрозыТаргетированная атака