DIGINEWS

Предупреждение о сборе статистики

DigiNews целенаправленно не собирает и не хранит историю визитов, но в работе использует счётчики, который могут собирать статистику посещений.

Измение этой статистики, её динамика помогает нам понимать предпочтения читателей и в какую сторону нам двигаться для улучшения. Ваше согласие нам поможет в этом.

Ссылка: [Политика безопасности dgnews.ru]

Чему директора по информационной безопасности могут научиться у овцебыков.

David Gee
02.01.2026
Безопасность
кибербезопасность,риски третьих сторон,управление рисками,apt29,teamviewer,fs-isac

Управление рисками третьих сторон — серьезная проблема для CISO. Атаки на TeamViewer и другие компании показали уязвимость цепочек поставок ПО. Как защититься? Стратегия овцебыков: объединение усилий для защиты самых уязвимых поставщиков.

Управление рисками третьих сторон представляет собой серьезную проблему для директоров по информационной безопасности (CISO) и лиц, принимающих решения в области безопасности. Недостаточное или неправильное управление этими рисками может привести к серьезным последствиям для бизнеса, вплоть до остановки производства.

Это было подчеркнуто рядом кибератак на поставщиков в последние месяцы. Например, когда российская хакерская группа APT29 (также известная как “Cozy Bear”) в июне 2024 года нацелилась на широко распространенное в корпоративной среде бесплатное программное обеспечение для удаленного доступа TeamViewer. Даже если вы не используете TeamViewer, существуют аналогичные инструменты от других поставщиков, таких как Perimeter81, AnyDesk, GoToMyPC или LogMeIn.

При этом возникают важные вопросы:

  • Какой сторонний поставщик станет следующей целью атаки?
  • И можете ли вы позволить себе рисковать в этом отношении?

Третьи стороны — ваше самое слабое звено

К сожалению, практически все компании в чрезмерной степени полагаются на слишком большое количество различных сторонних поставщиков, встроенных в их цепочки поставок программного обеспечения и бизнес-процессы. Речь идет не о двух или трех партнерах, а, скорее, о сотнях или тысячах, на которых компании полагаются каждый день, если говорить о популярных предложениях “программное обеспечение как услуга” (SaaS).

Риск, присущий сотрудничеству со сторонними поставщиками, соответственно резко возрастает – и не только тогда, когда их число выходит из-под контроля. Другие факторы риска в этой области включают, например:

  • Ограниченная прозрачность. Практически все поставщики предлагают потенциальным клиентам различные данные, чтобы продемонстрировать свои возможности. Однако в некоторых случаях используется устаревшая информация, которая неадекватно отражает текущую ситуацию с рисками.
  • Повышенная сложность. Различные сторонние поставщики сами сотрудничают с поставщиками и субподрядчиками, о которых вы, возможно, не знаете.
  • Недостаточно зрелые процессы. Многие сторонние поставщики работают с политиками и стандартами кибербезопасности, которые менее развиты, чем ваши собственные.
  • Меньшие инвестиции. Последний пункт часто связан с тем, что многие сторонние поставщики располагают ограниченным бюджетом на кибербезопасность. Это может повлиять на уровень безопасности их инструментов и сервисов.

Хотя был разработан ряд лучших практик и инструкций для устранения этих пробелов, они в значительной степени не оправдали себя:

  • Оценки поставщиков регулярно превращаются в бумажные “упражнения с галочками”, которые только отнимают время, но не помогают минимизировать риски.
  • Попытки добиться более строгих требований безопасности от сторонних поставщиков в рамках переговоров по контракту во многих случаях ни к чему не привели.
  • Некоторые компании используют непрерывный мониторинг для получения обзора и более глубокого анализа уровня безопасности сторонних поставщиков на основе данных.
  • Другие внедряют планы реагирования на инциденты в отношении сторонних партнеров, чтобы разрабатывать и отрабатывать стратегии на случай возникновения у них инцидентов безопасности.

В частности, последние два пункта могут быть полезны для компаний. Однако даже эти меры не в полной мере устраняют риски, связанные со сторонними поставщиками. Скорее, они представляют собой средство мониторинга и реагирования в случае кибератаки.

Стратегия овцебыков

Я горжусь тем, что являюсь членом “Центра обмена информацией и анализа в сфере финансовых услуг” (FS-ISAC) и вместе с другими директорами по информационной безопасности из финансовой отрасли возглавляю стратегический комитет в Азиатско-Тихоокеанском регионе. Этот консорциум предоставляет финансовым учреждениям по всему миру всеобъемлющую сеть киберразведки для обмена информацией о возможных надвигающихся или уже проводимых кампаниях атак.

Поскольку в нем участвуют многие компании отрасли с разным уровнем знаний и ресурсов, члены могут получить всестороннюю перспективу, которую они не смогли бы получить в одиночку. FS-ISAC является отличным примером того, как мы, как лица, принимающие решения в области безопасности, можем сотрудничать, чтобы лучше защититься от рисков.

В этом суть того, что я называю “стратегией овцебыков”. Предыстория: когда овцебыки подвергаются нападению волков, стадо образует круг, в центре которого находятся более слабые члены. Рога “передовых” животных направлены наружу. Нападающим практически невозможно преодолеть эту коллективную оборонительную стену. Я твердо убежден, что эту стратегию можно применить и к управлению рисками третьих сторон.

Подобно телятам у овцебыков, сторонние поставщики, на которых мы полагаемся, являются самыми слабыми членами стада. Если они пострадают, это повлияет на наши критически важные бизнес-процессы. Разница с овцебыками в том, что мы не образуем круг, в центре которого находятся сторонние поставщики. Вместо этого было бы целесообразно коллективно обмениваться информацией, если есть опасения, что меры кибербезопасности у стороннего поставщика оставляют желать лучшего и должны быть усилены.

Однако еще важнее было бы достичь общего соглашения о поддержке сторонних поставщиков в их усилиях. Это потенциально потребует координации и, возможно, пересмотра контрактов, но это даст преимущество в виде большей защиты этой уязвимости, которая затрагивает всех нас.

От теории к практике

Такое взаимодействие может вызвать опасения у юристов – ключевое слово антимонопольное законодательство. Тем не менее, подход овцебыков имеет потенциал для значительного улучшения ситуации с рисками в отношении сторонних поставщиков и помощи компаниям в более эффективном управлении рисками третьих сторон.

Это может выглядеть, например, следующим образом:

  1. Определите, какие сторонние поставщики вызывают у вас наибольшее беспокойство, и составьте “горячий список”.
  2. Обменивайтесь информацией с другими компаниями, чтобы сопоставить этот список и определить кандидатов, которые у вас есть совместно.
  3. Договоритесь о совместном “щите” для этих поставщиков.

Мы обсуждали этот же подход в FS-ISAC как возможный путь в будущее. Первые два шага относительно просты в выполнении, а третий требует значительно больше усилий, но и имеет решающее значение. Практический подход к его реализации может заключаться в том, что крупнейшие компании возьмут на себя ведущую роль и возьмут под свое крыло более мелкие.

Не следует забывать, что стратегия овцебыков также имеет свои ограничения: когда нападает медведь, даже овцебыки разбегаются – тогда каждый сам за себя. Это также можно применить к кибербезопасности: чем сильнее враг, тем вероятнее, что атака перерастет в борьбу за выживание. Но даже если эта стратегия не применима к каждому сценарию, она может значительно минимизировать наш коллективный риск. (fm)

Хотите читать другие интересные статьи об информационной безопасности? Наша бесплатная рассылка новостей предоставит вам все, что лица, принимающие решения в области безопасности, и эксперты должны знать, прямо в ваш почтовый ящик.

Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
8/9

Автор – David Gee

Оригинал статьи