В РСХБ предложили компаниям раскрывать своих подрядчиков государству, чтобы избежать атак через цепочки поставок

Атака через доверительные отношения (или же атаки через цепочки поставок) входят в перечень наиболее острых проблем российской кибербезопасности с 2022 года, заявил 15 апреля в ходе форума ГосСОПКА руководитель Центра кибербезопасности Россельхозбанка Дмитрий Машков. Одна из ключевых проблем — системы подрядчиков, как правило, защищены слабее, чем у клиентов из регулируемых секторов. При этом взломанный подрядчик, имеющий доступ к большому количеству клиентов, позволяет злоумышленникам гибко планировать атаки и наносить весомый ущерб. Но у «Россельхозбанка» есть предложения о том, как «повысить оперативность взаимодействия внутри ГосСОПКА при реализации атак на поставщиков».

Представитель Россельхозбанка предложил Национальному координационному центру по компьютерным инцидентам (НКЦКИ) доработать личный кабинет в ГосСОПКА, дав возможность организациям дополнять профиль сведениями о подрядчиках. Как считают в банке, благодаря этому:

1. НКЦКИ сможет оперативно уведомлять «группу риска» — других клиентов взломанного подрядчика;
2. У организаций будет возможность получать оперативные сведения о взломанном подрядчике от доверенного источника;
3. НКЦКИ будет получать больше обратной связи и сможет планировать и корректировать свои дальнейшие шаги.

«Идея полезная, но радикально ситуацию не изменит»

В комментарии SecPost архитектор департамента «Информационная безопасность» «Рексофта» Даниил Левченко отмечает, что идея РСХБ полезная — если организации смогут заранее указывать критических подрядчиков, то реагирование на инциденты станет быстрее. «Но это не решение всех проблем, поскольку атак через поставщиков меньше не станет», — подчеркивает эксперт.

«Необходимо усилить контроль доступа, требования к подрядчикам и обязательный обмен данными об инцидентах», — отметил Левченко. Он также указал, что проблема атак на цепочки поставок ПО действительно стоит остро: прошлогодние цифры показали, что в 2025 году атаки на цепочки поставок ПО стали самой частой угрозой для бизнеса, с ними столкнулись 31% компаний в мире и 35% в России.

Если на предложение РСХБ обратят внимание, то НКЦКИ перейдет из центра уведомлений в механизм раннего оповещения, отмечает руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин. Но это совсем другая роль и уровень ответственности.

«Подвох тут, как мне кажется, в том, что встанет проблема с качеством данных. Не все знают своих подрядчиков, особенно 3 и 4 уровня, а те не собираются их раскрывать, — отмечает Полунин. — НКЦКИ рискует начать рассылать объективный «мусор», потому что информация о связях будет неактуальной».

Полунин также обращает внимание, что взлом у подрядчика не равен тому, что атака масштабируется на всех клиентов разом. Даже если отбросить эти опасения, то останутся и чисто юридические вопросы: кто сможет обязать компании раскрывать своих подрядчиков?

«А если тот не хочет? А если НКЦКИ ошибся, то кто отвечает за ложные сообщения? Атаки-то не исчезнут, а вот проблема доверия появится», — отмечает Полунин.

«Предложение разумное и своевременное, но радикально ситуацию не изменит», — также считает бизнес-партнер по кибербезопасности Cloud.ru Юлия Липатникова. Шаг полезный, он закроет одну из многих проблем, но панацеей не станет. На взгляд Липатниковой, введение информации о подрядчиках в ЛК ГосСОПКА повысит скорость оповещения — сейчас НКЦКИ в большинстве случаев не знает, какие организации связаны с тем или иным подрядчиком. Время реакции сократится с недель до часов. Плюс, снизятся «слепые зоны» — разрыв между моментом взлома подрядчика и моментом, когда клиенты узнают об угрозе.

Липатникова обращается к мировому опыту, вроде кейса SolarWinds. Главная проблема при таких атаках, как отмечает эксперт, это то, что никто не знает полного списка клиентов взломанного поставщика. В результате уведомления приходят с огромным опозданием, а многие компании узнают о компрометации только после собственного инцидента.

«Если бы существовал механизм, аналогичный предложению РСХБ, этот разрыв можно было бы сократить — клиенты получали бы сигнал на ранней стадии и успевали принять меры до того, как атакующие закрепятся в их инфраструктуре», — считает эксперт.

Но реализация предложения РСХБ не будет «радикальным решением», отмечает Липатникова. Подрядчик или клиент могут просто не внести данные, а без обязательности механизм будет работать неполноценно. Плюс проблемы с достоверностью — кто и как будет проверять, что внесенные сведения корректны и актуальны?

«Подрядчик может не знать всех своих клиентов, особенно если речь идет о субподряде, а субподрядчики — отдельная зона риска», — отмечает Липатникова. Причем клиент часто даже не в курсе, что подрядчик привлек третью сторону, а атаковать могут именно слабозащищенного субподрядчика.

Несмотря на все минусы, в Cloud.ru поддерживают предложение РСХБ. Но радикального перелома не произойдет, пока информирование о подрядчиках не станет обязательным — а сами подрядчики не начнут проходить регулярный аудит безопасности, подчеркивает Липатникова

Обязательная атрибуция, цифровые паспорта и аудиты

Есть у экспертов и собственные предложения по борьбе с атаками через поставщиков. В этом может помочь модель с обязательной атрибуцией доступа подрядчиков, отмечает Полунин из «Газинформсервиса». Нужна система, при которой организация понимает, что у неё есть подрядчик, который занимается определенными системами и имеет те или иные привилегии, при этом подключается через известные каналы. Полунин считает, что «без этого уведомления сами по себе не особенно полезны».

«Второй момент — это то, как НКЦКИ уведомляет своих клиентов. Письма с вложениями pdf — это не то, чего ждет индустрия. Хочется удобного API и современных машиночитаемых индикаторов. Ну и наконец, что-то нужно делать с обратной связью. Существующая модель не подразумевает, что организация, уведомленная НКЦКИ, отправит фидбек о том, что реально пострадало и какие меры защиты сработали», — обращает внимание Полунин.

У Липатниковой из Cloud.ru тоже есть предложения в части взаимодействия с НКЦКИ. По её мнению, информирование о критических подрядчиках необходимо сделать обязательным — для субъектов КИИ и операторов ГИС целесообразно ввести обязанность предоставлять в НКЦКИ перечень подрядчиков, имеющих доступ к значимым объектам, иначе механизм будет просто неполным.

Другая идея — внедрение «цифрового паспорта интеграции». Как поясняет Липатникова, при подключении подрядчика к системам организации в НКЦКИ нужно направлять технический профиль: типы соединений, используемые протоколы, версии программного обеспечения, уровни доступа. Так регулятор сможет оперативно моделировать возможные последствия для каждого клиента.

Также, по мнению эксперта, необходим обратный канал уведомлений для самого подрядчика. Сейчас НКЦКИ, по словам Липатниковой, уведомляет только клиентов взломанного поставщика — но и сам подрядчик, получив сигнал от регулятора (на основе данных от клиентов или внешней разведки), мог бы быстрее начать внутреннее расследование и остановить атаку. Другая идея — введение регламентации экстренного обмена индикаторами компрометации.

«При подтверждении атаки на подрядчика целесообразно обязать его в течение 1–2 часов предоставить машиночитаемый список индикаторов (IP-адреса, домены, хеши файлов). Эти данные НКЦКИ мог бы автоматически распространять среди всех клиентов подрядчика для немедленной блокировки», — отмечает эксперт Cloud.ru.

И, наконец, могут помочь обязательные аудиты подрядчиков с массовым доступом к клиентам. Если у подрядчика длинный список клиентов и несколько субъектов КИИ, то имеет смысл ввести требование о регулярном внешнем аудите его безопасности. «Результаты аудита должны направляться в НКЦКИ, а при выявлении критических нарушений — информация доводится до всех клиентов», — считает Липатникова.