К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Трое в лодке: на ком лежит ответственность за кибербезопасность

Фото Getty Images
Фото Getty Images
По данным МВД, ущерб от хакерских атак в России за 2023 год составил 156 млрд рублей. Растет и мировой ущерб от кибератак: согласно оценкам Juniper Research, он будет увеличиваться в среднем на 11% ежегодно. Проникновения в инфраструктуру компании и утечки данных могут привести не только к финансовым издержкам, но и к другим серьезным последствиям: потере доверия клиентов, санкциям от регуляторов, а порой и заморозке деятельности на неопределенный срок. Когда случается успешная кибератака, возникает вопрос: это вина клиента, в чей аккаунт проникли злоумышленники, производителя программы, которую взломали, или интегратора, установившего решение? Страдают все трое. В интересах каждого снизить вероятность инцидентов до минимума. О том, как должна распределяться ответственность между всеми сторонами, рассказывает руководитель направления по информационной безопасности «1С-Битрикс» Роман Стрельников

Защищенный продукт — на стороне вендора

Главная ответственность производителя программного обеспечения — создать максимально защищенный продукт и понятные рекомендации по его установке и поддержке. У крупных вендоров, как правило, интегрирован процесс безопасной разработки. Возможные уязвимости и риски учитываются на каждом этапе. Этот процесс регламентирован — 20 декабря 2024 года вышел ГОСТ Р 56939-2024, который закрепляет процессы, обеспечивающие безопасность на всех шагах создания продукта — от проектирования до тестирования.

Стоит также обратить внимание на безопасность, которую должны обеспечивать продукты, развернутые в облачной инфраструктуре. Многие поставщики облачных услуг выполняют требования международных стандартов ISO/IEC 27001, 27002, 27017. Они применяются и в России и зачастую являются подспорьем для отечественной регуляторной базы. При выборе поставщика услуг предоставления облачной инфраструктуры вендор смотрит в том числе на выполнение требований стандартов безопасности.

Ответственные вендоры при разработке ПО сопровождают продукт документами и инструкциями для интеграторов и пользователей: от того, на какую основу ложится решение, до инструкции по установке и безопасности. Рекомендации должны обновляться вместе с программным обеспечением. Иногда для гарантии защиты от кибератак помимо установки актуальной версии продукта необходимо задать определенные настройки на стороне заказчика — этот момент обязательно должен быть прописан.

 

Вендор обязан не только находить и устранять уязвимости в продукте при обновлении версий, но и обеспечить у себя систему, которая позволит заказчику легко актуализировать программное обеспечение. Сделать это можно через разные уведомления. Например, через мессенджеры, почтовые рассылки, встроенную систему обновлений внутри продукта (если есть такая) или через центр обновлений программного продукта (если такой есть). 

Помимо этого, ответственность производителя — это предоставить несколько линий поддержки. Она должна включать оперативную техническую помощь, сопровождение в настройке продукта и консультации по вопросам безопасности. Таким образом, вендор создаст доверие к продукту и поможет заказчику эффективно защищаться от киберугроз.

 

Для примера. В 2022 году по вине Microsoft произошла утечка данных, которая коснулась 65 000 компаний по всему миру. В сеть попали имена пользователей, e-mail-адреса, письма, названия компаний, номера телефонов и документы. Утечка произошла из-за некорректной настройки веб-сервиса и привела к потере нескольких терабайтов данных.

Безопасное внедрение — от интегратора

Интегратор отвечает за корректную установку продукта и его интеграцию с существующими системами защиты заказчика в соответствии с рекомендациями вендора. Еще до старта внедрения он должен подробно изучить инфраструктуру клиента, выявить потенциальные риски и обеспечить их устранение. Аудит включает в себя анализ сети, проверку соответствия актуальным стандартам безопасности и оценку уровня защищенности данных. На этом этапе важно дополнительно согласовать с заказчиком организационные или технические меры, которые минимизируют риски кибератак. Например, системы мониторинга и реагирования, NGFW (next-generation firewall, межсетевой экран для контролирования трафика) и прочие инструменты. 

Партнер по интеграции также обязан настроить все функции безопасности продукта: шифрование, управление доступом и мониторинг событий. Это важный пункт, которому не всегда уделяют должное внимание. Причиной может быть недостаток необходимой экспертизы, желание сэкономить или банальная спешка. Потому следует отдавать предпочтение сертифицированным и авторизированным компаниям, работающим напрямую с вендором.

 

В 2022 году из-за ошибки интегратора решения T-connect, официального приложения Toyota, в открытом доступе оказалась часть исходного кода с ключом доступа к серверу. Кибератака привела к потере данных почти 300 000 клиентов.

Еще одна задача, которую, как правило, берут на себя интеграторы — это обучение конечных пользователей работе с продуктом. Это критически важный момент, потому что до 80% утечек происходит именно по вине человеческого фактора. После внедрения партнер также может предложить услуги технической поддержки и мониторинга, чтобы оперативно реагировать на инциденты и минимизировать возможные угрозы.

Корректная эксплуатация — ответственность клиента

На стороне заказчика должны существовать четкие регламенты по работе с информационной системой с учетом рекомендаций вендора. С ними следует ознакомиться всем сотрудникам, взаимодействующим с продуктом. Необходимо внимательно отнестись к этапу тестирования. Это поможет вовремя обнаружить, если интегратор не задал все необходимые настройки безопасности системы. 

Важно ответственно подойти к управлению доступами и давать пользователям ровно столько прав, сколько требуется для выполнения их трудовых обязанностей. Также важно установить двухфакторную аутентификацию — это легкий способ заметно снизить риск проникновения посторонних в инфраструктуру.  

Простое действие, о котором часто забывают клиенты, — это своевременное обновление ПО. Как правило, в новых версиях продуктов разработчики совершенствуют систему защиты, а старые со временем перестают обслуживаться вендором. 

 

Еще один фактор риска — запоздалое выявление взлома. Это очень распространенная история: в среднем от момента проникновения злоумышленника в инфраструктуру до его обнаружения проходит 37 дней. За это время хакер может нанести компании непоправимый ущерб и усложнить расследование инцидента. Потому важен постоянный мониторинг ИБ-событий. 

Важно создать надежную систему информационной защиты в компании и провести ее аттестацию. Последним часто пренебрегают коммерческие компании (в отличие от государственных организаций). Независимый аудит и тестовые атаки должны стать регулярной практикой в компании, которая хочет быть уверенной в своей защите. Параллельно следует проводить обучение сотрудников правилам ИБ: тренировать их выявлять фишинговые сообщения, доносить необходимость создавать надежные пароли и периодически их менять.

На фишинг попадаются даже крупные IT-корпорации. Например, в 2022 году такой атаке подверглись сотрудники американской компании по облачным коммуникациям Twilio. Хакеры представлялись работниками IT-отдела компании и просили людей перейти по вредоносным ссылкам. После сотрудников убеждали изменить пароль, а актуальный пароль оказывался украденным.

Чтобы свести к минимуму количество атак, крайне желательно, чтобы в компании были специалисты, ответственные за безопасность и обслуживание системы защиты. Они должны регулярно проводить мониторинг безопасности, следить за своевременными обновлениями ПО и отслеживать потенциальные уязвимости. Такие специалисты также могут быстро реагировать на инциденты и координировать действия с вендором и интегратором в случае обнаружения угроз.

 

В любом информационной системе можно найти уязвимости — и не всегда это брешь непосредственно в ПО, его настройках или операционной системе. Иногда достаточно банального несоблюдения правил интеграции или доверчивого менеджера на стороне клиента, скомпрометировавшего инфраструктуру компании на фишинговом сайте. 

IT-продукт — это часть информационной системы, которую необходимо защищать комплексно. Достаточно не учесть один из множества факторов, чтобы стать мишенью для киберпреступников. Потому в альянсе «вендор-интегратор-клиент» важна роль каждого участника.

Мнение редакции может не совпадать с точкой зрения автора

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2025
16+