OEM (Original Equipment Manufacturer, оригинальный производитель оборудования) — в широком смысле это компания, которая разрабатывает и производит компоненты, детали или готовые изделия, которые затем поставляются другим компаниям для интеграции в их конечную продукцию или для перепродажи под их собственной торговой маркой. В контексте кибербезопасности и ИТ-инфраструктуры термин «OEM-устройства» чаще всего относится к готовым продуктам (серверам, сетевым устройствам, ноутбукам, промышленным контроллерам), произведенным одной компанией, но продаваемым под брендом другой компании, которая может добавлять свое программное обеспечение, проводить финальную настройку и обеспечивать гарантийную поддержку.
Ключевые характеристики и роль OEM в безопасности:
- Двойственная природа OEM-отношений: В цепочке поставок ИТ-продуктов существует два основных типа OEM-производителей:
- Производитель компонентов: Компания, выпускающая комплектующие (чипы, жесткие диски, блоки питания), которые используются другими производителями при сборке конечных устройств.
- Производитель готовой продукции (ODM/OEM-брендирование): Фабрика (часто в Китае или других странах Азии) разрабатывает и производит готовое устройство (например, ноутбук, смарт-часы, маршрутизатор) по спецификациям компании-заказчика. Заказчик (вендор) наносит свой логотип, устанавливает предустановленное ПО (включая операционную систему и драйверы), упаковывает устройство и продает его под своим именем, выступая в роли бренда. В этом случае именно вендор несет ответственность перед конечным пользователем.
- Уникальные риски безопасности OEM-устройств: Использование OEM-модели создания продуктов порождает специфические уязвимости и угрозы, которые необходимо учитывать при управлении рисками.
- Атаки через цепочку поставок (Supply Chain Attacks): Поскольку производственный процесс включает множество сторонних организаций, он становится привлекательной мишенью для злоумышленников. Компрометация может произойти на этапе производства, когда в прошивку или аппаратное обеспечение внедряется вредоносный код или «закладки» (hardware implants) еще до того, как устройство попадет к конечному заказчику.
- Фрагментированная ответственность за безопасность: Ответственность за безопасность размыта между производителем (OEM-фабрикой), разработчиком компонентов (например, поставщиком чипов) и компанией-брендом. Это может приводить к тому, что критические обновления безопасности (патчи) для уязвимостей, обнаруженных в базовом коде или прошивке, не доходят до всех затронутых устройств разных брендов, использующих одну и ту же OEM-платформу.
- Компрометация ключей и сертификатов: Для подписи прошивок и обеспечения безопасной загрузки (Secure Boot) OEM-производители используют криптографические ключи. Если эти ключи будут скомпрометированы (украдены или утечены), злоумышленники смогут подписывать вредоносное ПО, которое будет восприниматься устройством как доверенное, что позволит обходить защитные механизмы на аппаратном уровне.
- Несанкционированный доступ для техподдержки: Многие OEM-устройства, особенно в промышленной среде (OT/ICS), требуют удаленного доступа от инженеров производителя для диагностики и обслуживания. Эти каналы доступа часто являются слабым местом, так как используют немаршрутизируемые и не всегда должным образом контролируемые подключения, что создает брешь в периметре безопасности организации.
- Меры защиты и управления рисками:
- Требование SBOM (Software Bill of Materials): Запрос у поставщика полного списка всех программных компонентов, используемых в устройстве, для анализа уязвимостей.
- Управление доступом OEM: Строгий контроль и мониторинг любого удаленного доступа, предоставляемого производителю. Использование моделей доступа Just-in-Time (JIT), многофакторной аутентификации (MFA) и изолированных шлюзов вместо постоянных VPN-туннелей.
- Проверка целостности прошивки: Регулярная проверка цифровых подписей прошивок и использование механизмов безопасной загрузки (Secure Boot) для предотвращения выполнения несанкционированного кода.
- Аудит цепочки поставок: Включение требований к физической и кибербезопасности производственных мощностей в договоры с поставщиками и проведение независимых аудитов.
В мире потребительской электроники и корпоративного «железа» OEM-модель является доминирующей. Это позволяет брендам сосредоточиться на разработке, маркетинге и продажах, не вкладывая средства в строительство заводов. Однако с точки зрения безопасности это создает «черный ящик», так как конечный пользователь часто не знает о происхождении всех компонентов внутри устройства. Уязвимость, обнаруженная в OEM-компоненте (например, в драйвере или чипе), может затронуть устройства десятков различных брендов по всему миру. Поэтому управление рисками, связанными с OEM-устройствами, является неотъемлемой частью более широкой стратегии управления рисками третьих сторон (Third-Party Risk Management, TPRM) и защиты от атак на цепочку поставок.
Упоминания
-
5 марта 2026
В кнопочных Nokia, одобренных со стороны ВС РФ, нашли встроенный зловред для перехвата SMS
В кнопочных телефонах Nokia, продаваемых в РФ, обнаружено вредоносное ПО, активируемое сразу при подключении SIM-карты и присоединении аппарата к сотовой...
