Копипаст | Злоумышленники в настоящее время активно эксплуатируют доверие компаний-партнеров.

Исследование, проведенное компанией «Инфосистем Джет» показывает, что около 80% компаний применяют одинаковые меры безопасности как к своим сотрудникам, работающим удаленно, так и к своим подрядчикам и поставщикам услуг.

Однако менее 10% компаний проводят оценку уровня информационной безопасности своих поставщиков, и эта оценка часто имеет формальный характер, не влияя на решение о выборе поставщика или настройке безопасности.

Также стоит отметить, что 38% компаний используют внешние бесплатные сервисы для обмена большими файлами со сторонними компаниями. В этом случае сотрудник, инициирующий обмен, обычно самостоятельно определяет требования к безопасности, учитывая принципы скорости и удобства.

Атаки на цепочку поставок становятся все более распространенными и опасными. По данным исследования «Инфосистем Джет», риск эксплуатации доверия входит в топ-5 наиболее критичных и вероятных операционных рисков за последние три года. Рост количества таких атак составляет более 300% по разным источникам.

Эксперты предупреждают, что ситуация на самом деле еще более серьезная. Модель безопасности «крепость и ров», которая широко используется в компаниях, оказывается недостаточно эффективной против атак через подрядчиков. Если злоумышленник взламывает подрядчика, он получает полный доступ к системе компании.

Это подчеркивает, что никто не застрахован от риска эксплуатации доверия. Подрядчики, поставщики и партнеры любой компании, имеющие доступ к ее активам, представляют серьезные риски, связанные с непрерывностью бизнеса.

Атаки на цепочку поставок остаются одним из основных рисков для корпораций, финансовых и IT-компаний. Компрометация учетных записей на уровне поставщика услуг открывает возможности для различных векторов атак.

Однако, согласно данным специалистов МТС RED, ситуация оказывается гораздо серьезнее, чем описывают коллеги из «Инфосистем Джет». Технический руководитель направления анализа защищенности центра инноваций Future Crew компании МТС RED, Алексей Кузнецов, утверждает, что на практике ситуация намного хуже.

Он указывает, что проверка подрядчика службой безопасности обычно ограничивается проверкой юридической чистоты и отсутствия конфликта интересов. Оценка уровня защищенности и зрелости информационной безопасности в компаниях-подрядчиках происходит в очень небольшом количестве случаев, и часто этот процесс имеет неформальный характер. Он также отмечает, что право на проведение аудита организации должно быть зафиксировано в договоре с подрядчиками, но это реализуется только в 5% случаев.

Специалисты из Positive Technologies, исследуя актуальные киберугрозы, также подтверждают растущее влияние атак на цепочку поставок и доверенные каналы связи. Они указывают, что в 2022 году такой тип атак был использован в 4% успешных атак на организации, причем наиболее популярен он стал в сферах торговли, телекоммуникаций, IT-компаний и государственных учреждений. Доля атак, связанных с компрометацией цепочки поставок или доверенных каналов связи, в первом квартале 2023 года выросла до 7%. При этом около двух третей успешных атак, начавшихся с компрометации доверенной стороны, привели к утечкам конфиденциальной информации, а каждая четвертая атака привела к нарушению основной деятельности организации.

F.A.C.C.T. прогнозирует, что локальные компании в сфере кибербезопасности, разработчики программного обеспечения и интеграторы станут основной целью атак на цепочки поставок. Для защиты от таких угроз рекомендуется внедрение передовых технологий раннего предупреждения и предотвращения целевых кибератак, а также аудит сетевой инфраструктуры, выявление уязвимостей и повышение цифровой грамотности сотрудников.

Публичные инциденты, произошедшие в 2022–2023 годах, демонстрируют серьезное влияние атак на бизнес. В результате таких атак возникают простои систем, финансовые потери и ущерб для репутации организаций. Некоторые из громких инцидентов включают атаку на поставщика услуг аутентификации Okta, атаку на почтовый маркетинговый сервис MailChimp, атаку на чат-провайдера Comm100 и кибератаку на государственную железную дорогу в Дании через поставщика IT-услуг Supeo. Во всех случаях произошли серьезные нарушения и негативные последствия для организаций и их клиентов.

P.S. ГлавИнформ -Гиббон — канал о политике и экономике;

ГлавЗдрав  — канал о здоровье, ЗОЖ, медицине.

Подписывайтесь! Оставляйте комментарии.