Бизнес без угроз: как обеспечить кибербезопасность в работе с поставщиками и партнерами

Подробности рассказала технический директор компании «ИТ Энигма» Гульназ Галина.

Для каких компаний риски кибератак через партнеров особенно актуальны?

— Это касается практически всех, ведь у каждой организации есть поставщики, подрядчики, сервисные компании, с которыми она работает. Подобные виды атак в последнее время становятся всё более распространенными. По данным компании RED Security, занимающейся защитой бизнеса, эта техника находится в топ-6 рисков, а в сравнении с 2023 г. количество инцидентов выросло втрое.

Доступ к какой информации могут получить злоумышленники?

— Под угрозой находятся конфиденциальные сведения, в том числе составляющие коммерческую тайну, персональные и учетные данные, документы и многое другое. Атаковать могут как саму компанию, так и ее клиентов. Представим, что фирма приобрела сторонний софт, злоумышленники через его производителя могут проникнуть в инфраструктуру компании, получить доступ к конфиденциальной информации как самой организации, так и ее клиентов. Атакуют и госучреждения, будь то больницы или министерства. Популярностью пользуются почтовые адреса, логины и пароли, которые могут храниться в базе данных поставщиков, клиентов. С этой информацией можно делать что угодно, например, продать в даркнете или использовать для атаки конкретных людей или организаций.

Какие еще каналы доступа, помимо софта, используют хакеры?

— Могут взломать фирму, которая поставляет вам сырье или развозит вашу продукцию. Если у вас налажено взаимодействие информационных систем, то, получив доступ, можно нарушить цепочку поставок и взаимодействия в целом. В результате компания понесет убытки, в том числе из-за штрафных санкций, возможны и репутационные потери. Поэтому важно думать не только о собственной безопасности, но и выбирать надежных партнеров.

То есть надежная защита от внешних угроз может стать для фирмы конкурентным преимуществом, открывающим путь к сотрудничеству с солидными партнерами?

— Конечно, зрелые компании выбирают для сотрудничества тех, у кого налажена информационная безопасность. При этом они могут требовать соответствия своим стандартам. Для этого заключаются договоры, дополнительные соглашения, где прописываются все требования, которые необходимо выполнять.

С чего начать компании, которая хочет обеспечить надежную защиту от угроз?

— Прежде всего необходимо провести аудит информационной безопасности. Он поможет понять, какой ценной информацией обладает компания, кто из партнеров имеет к ней доступ, выявить уязвимости, понять, где требуется что-то усовершенствовать, и принять меры для исправления ситуации. Это не разовый контроль, а постоянный процесс. Речь не идет о недоверии к партнерам, важно осознавать возможные риски и управлять ими.

Закон определяет субъекты, которые обязаны обеспечивать информационную безопасность. Это государственные органы, системообразующие предприятия, организации, относящиеся к критической информационной инфраструктуре, операторы персональных данных и др. Но компании, для которых нет таких строгих требований, тоже должны серьезно об этом задуматься. Конечно, это требует вложений, но возможные потери значительно превышают стоимость мероприятий по цифровой защите.

Как технический директор компании «ИТ Энигма» и эксперт рекомендую не откладывать на завтра создание своей команды специалистов по информационной безопасности. Это уже must-have, а не опция. А пока этого не сделано, нужно позаботиться о базовой защите, например, обратиться к нашей экспертизе за комплексным решением.

«ИТ Энигма» работает на рынке технологий защиты информации уже почти 25 лет. Нам доверяют свою информационную безопасность коммерческие предприятия и организации, органы власти и местного самоуправления, здравоохранение, образование и т. д. География наших клиентов включает различные регионы России.

Если говорить просто, мы делаем всё, что связано с защитой информации. Опираясь на статус официального партнера ведущих российских вендоров и собственную команду экспертов, мы предлагаем комплексное решение: от проектирования и внедрения до полного аутсорсинга службы информационной безопасности.