В рамках фестиваля Positive Hack Days 12 19 мая прошёл круглый стол «Атаки на цепочку поставок: доверие к сервисам и технологиям в новом мире». В ходе мероприятия представители российских компаний обсудили отраслевую специфику таких атак, критически опасные и недопустимые последствия, оценили киберриски взаимодействия с поставщиками и перспективы результативной защиты.
В круглом столе приняли участие вице-президент и директор по информационной безопасности VK Алексей Волков, директор по кибербезопасности медиахолдинга Rambler&Co Евгений Руденко, директор по информационной безопасности Ozon Кирилл Мякишев, технический директор «СДЭК» Павел Куликов и директор экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) Алексей Новиков.
По итогам круглого стола были сделаны следующие выводы.
В контексте интернет-медиахолдингов совершенно недопустима компрометация поставщиков контента, через которых медиа получают и передают данные. Но многие интернет-компании всё ещё полагаются на сторонние ресурсы, что делает определение отраслевой специфики сложной задачей.
За последние годы количество атак на цепочки поставок значительно возросло: достаточно вспомнить атаки на государственные учреждения США и сервисы Google, на российские правительственные сайты, компрометацию записей 3,7 миллиона клиентов сети аптек Dis-Chem Pharmacies (ЮАР) из-за взлома стороннего поставщика услуг, атаки на сайты недвижимости через видеоплеер и многие другие.
«Рост количества инцидентов подобного рода объясняется тем, что современный интернет становится всё более экосистемным: сервисы взаимодействуют друг с другом и предоставляют аналитические и прочие услуги. Интеграция увеличивает риски компрометации через поставщиков», — комментирует Евгений Руденко.
«Российские компании испытывают повышенное внимание со стороны хакеров, тогда как раньше его можно было назвать точечным: в основном проводились одноступенчатые атаки, к которым организации приспособились. Был выработан спектр простых рекомендаций, которые позволяли избегать подобных инцидентов, хотя утечки в некоторой степени все равно происходили. Сейчас же ситуация изменилась: нападения стали целенаправленными. Хакеры изучают жертву, пробуют разный инструментарий и техники, чтобы достичь желаемого результата. Контрагенты потенциальной жертвы неизбежно попадут в поле зрения злоумышленников, а следовательно, тренд на атаки на цепочки поставок усилится», — говорит Алексей Новиков.
Количество атак на цепочки поставок в будущем увеличится, в том числе потому, что IоT-сегмент, который интегрируется с аппаратным и программным обеспечением, находится на стадии интенсивного развития.
Бизнес-модель онлайн-торговли очень привлекает киберпреступников. Возникает необходимость в принятии дополнительных мер для защиты платформ от подобных угроз. Кроме финансовых потерь при взломах компании несут значительные имиджевые потери, и для снижения рисков нужна поддержка со стороны государства и больших игроков рынка.
«Необходимо сформировать общие стандарты и сформулировать пул стандартизированных требований зрелости кибербезопасности, которые компании могли бы соблюдать. Например, при принятии решения о сотрудничестве с той или иной организацией можно будет запросить документы и убедиться, что поставщик соблюдает единые требования рынка. Интернет-среда должна регулироваться с точки зрения кибербезопасности. Пока что для проверки уровня зрелости ИБ у нас нет ни законодательной базы, ни ресурсов», — прокомментировал Евгений Руденко.
Важно корректно оценивать периметр, где злоумышленники могут получить доступ к инфраструктуре компании. Также необходимо обучение сотрудников, клиентов и партнёров базовым правилам информационной безопасности: люди должны понимать возможные риски и знать основные меры предосторожности, что позволит им не попасться на уловки мошенников.
Сотрудники ИБ-департаментов должны участвовать во всех процессах компании, включаться в согласование новых проектов, договоров, архитектуры. Также необходимо сделать рынок цивилизованным и регламентированным, нужны понятные требования государства, которые организации обязаны соблюдать.
Концепция нулевого доверия (Zero Trust) была названа «правильной»: при таком подходе самым эффективным способом обеспечения ИБ является одинаковый контроль всех поставщиков и контрагентов компании, изначальное недоверие к каждому звену цепочки. Часть экспертов назвала такую концепцию во многом «идеальной», не встречающейся в чистом виде, но подчеркнула, что к ней нужно стремиться.
В общем круглый стол на Positive Hack Days 12 проложил путь для дальнейших обсуждений и разработки стратегий защиты от атак на цепочки поставок. Эксперты отметили важность принятия мер по обеспечению безопасности в экосистеме современного интернета и необходимость активного сотрудничества и обмена опытом между компаниями, чтобы сделать цифровой мир более защищённым и надёжным для всех пользователей.
