Более половины подрядчиков крупного бизнеса не защищены от кибератак. Исследование от CICADA8
2 часа назад 55% IT-подрядчиков в России имеют критические уязвимости. Эксперты CICADA8 раскрыли данные об открытых портах, неисправленных дырах в безопасности и утечках учетных данных.
55% российских IT-подрядчиков и контрагентов крупного бизнеса имеют критически низкий уровень защиты от кибератак, что ставит под угрозу информационную безопасность всей цепочки поставок. Таковы результаты масштабного исследования компании в сфере информбезопасности CICADA8.
Специалисты CICADA8 проанализировали проблемы 60 тысяч компаний. Основными стали открытые порты, неисправленные уязвимости и данные учетных записей в даркнете, а главной причиной — отсутствие единых требований и ресурсов у мелких игроков.
Порты, «дыры» и утечки паролей
Эксперты CICADA8 выявили три ключевые угрозы. Самой распространенной оказалась некорректная настройка сетевой инфраструктуры: у 55% обследованных компаний не защищен как минимум один порт для доступа в систему из интернета.
У 32% подрядчиков в системах были обнаружены «старые» критические уязвимости, для устранения которых давно выпущены обновления, но компаниями они проигнорированы. Еще у 27% данные корпоративных учетных записей (логины и пароли) были найдены в открытых базах утечек, опубликованных на теневых форумах даркнета.
Phishman: отсутствие требований или человеческий фактор?
В России нет единых обязательных требований по кибербезопасности для контрагентов. По мнению Алексея Горелкина, генерального директора Phishman, их введение не является решением проблемы.
Вопрос в том, как крупный заказчик будет с бороться с атакой на цепочку поставщиков. Он может ввести определенные требования безопасности, а также взять бремя обеспечения безопасности на себя, ввести киберкультуру,
— считает Алексей Горелкин.
Эксперт указывает, что большинство атак происходят через социальную инженерию и элементарное невыполнение правил кибергигиены.
RTM Group: законность исследований и сложности малого бизнеса
Управляющий RTM Group Евгений Царев, обращает внимание на то, что подобные масштабные исследования без согласия компаний могут находиться на грани законности.
Если компания небольшая... у них внутренняя информационная безопасность все равно будет на невысоком уровне. Речь здесь именно о размере организации и о ее сложностях,
- отмечает Царев.
По его словам, риск возникает при интеграции систем с защищенной инфраструктурой крупного заказчика.
Исследование показывает, что уязвимость IT-подрядчиков — это системный риск для российского бизнеса. Решение проблемы специалисты видят не столько в создании новых стандартов, сколько в принятии ответственности крупными компаниями-заказчиками. Эксперт подчеркивает, что помощь в выстраивании киберкультуры, аудит и точечная поддержка подрядчиков могут быть эффективнее, чем регулирование.
Ранее RUБЕЖ сообщал, что 66 млн записей персональных данных утекло из учреждений здравоохранения России с 2023 года.
Был ли вам полезен данный материал?
Да НетБлагодарим за оставленный Вами отзыв! Мы стараемся становиться лучше!