Количество кибератак, направленных на отечественные предприятия посредством их контрагентов, в первом квартале 2025 года увеличилось на 80% по сравнению с аналогичным периодом прошлого года, узнали в компании «Информзащита».
Зависимость от сторонних подрядчиков у компаний только растет: четверть (26%) всех успешно проведенных кибератак осуществлена именно через посредников.
Самыми уязвимыми оказались поставщики логистических услуг (40% от всех случаев атак), операторы цифровой инфраструктуры (38%) и разработчики ПО (22%). Наибольший ущерб от такого типа кибератак получают представители промышленности (53%), розничной торговли (27%) и топливно-энергетической отрасли (10%).
Резкий рост числа атак через цепочку поставок — тревожный, но закономерный тренд, отмечает член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин.
«Современные компании всё активнее полагаются на внешних подрядчиков для решения ИТ-задач, логистики, облачных и других цифровых сервисов. Это делает их уязвимыми не только за счёт собственных слабых мест, но и за счёт недостатков в защите третьих лиц, часто менее зрелых с точки зрения кибербезопасности. Рост атак на 80% — прямое следствие этой зависимости и недостаточного внимания к контролю над экосистемой поставщиков», - сказал он.
При этом почти четверть всех успешных атак проходит именно через посредников. Это означает, что злоумышленники всё чаще делают ставку не на «лобовое» проникновение в крупные защищённые компании, а на поиск слабого звена среди партнёров. Поставщики логистики и ИТ-сервисов становятся «воротами» к основным целям — будь то крупные промышленные объекты или ритейлеры, оперирующие с чувствительными данными клиентов и цепочками поставок.
«Для бизнеса это сигнал к немедленному пересмотру подходов к управлению рисками третьих сторон. Вендор-менеджмент должен включать не только юридические и коммерческие оценки, но и регулярную киберэкспертизу: аудит безопасности, требования к сертификации и мониторинг инцидентов. Без встроенных механизмов оценки поставщиков по критериям ИБ любая комплексная защита предприятия оказывается уязвимой снаружи», - пояснил депутат.
Государству и профильным регуляторам также стоит обратить внимание на необходимость методических рекомендаций и стандартов оценки подрядчиков в критичных отраслях. «Особенно актуально это для промышленности и ТЭК, где последствия успешных атак могут выходить за рамки бизнеса и иметь системный характер. Инциденты в цепочке поставок — не частные случаи, а проявление новой модели угроз, на которую необходимо реагировать уже на нормативном и отраслевом уровне», - заключил Немкин.
Зависимость от сторонних подрядчиков у компаний только растет: четверть (26%) всех успешно проведенных кибератак осуществлена именно через посредников.
Самыми уязвимыми оказались поставщики логистических услуг (40% от всех случаев атак), операторы цифровой инфраструктуры (38%) и разработчики ПО (22%). Наибольший ущерб от такого типа кибератак получают представители промышленности (53%), розничной торговли (27%) и топливно-энергетической отрасли (10%).
Резкий рост числа атак через цепочку поставок — тревожный, но закономерный тренд, отмечает член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин.
«Современные компании всё активнее полагаются на внешних подрядчиков для решения ИТ-задач, логистики, облачных и других цифровых сервисов. Это делает их уязвимыми не только за счёт собственных слабых мест, но и за счёт недостатков в защите третьих лиц, часто менее зрелых с точки зрения кибербезопасности. Рост атак на 80% — прямое следствие этой зависимости и недостаточного внимания к контролю над экосистемой поставщиков», - сказал он.
При этом почти четверть всех успешных атак проходит именно через посредников. Это означает, что злоумышленники всё чаще делают ставку не на «лобовое» проникновение в крупные защищённые компании, а на поиск слабого звена среди партнёров. Поставщики логистики и ИТ-сервисов становятся «воротами» к основным целям — будь то крупные промышленные объекты или ритейлеры, оперирующие с чувствительными данными клиентов и цепочками поставок.
«Для бизнеса это сигнал к немедленному пересмотру подходов к управлению рисками третьих сторон. Вендор-менеджмент должен включать не только юридические и коммерческие оценки, но и регулярную киберэкспертизу: аудит безопасности, требования к сертификации и мониторинг инцидентов. Без встроенных механизмов оценки поставщиков по критериям ИБ любая комплексная защита предприятия оказывается уязвимой снаружи», - пояснил депутат.
Государству и профильным регуляторам также стоит обратить внимание на необходимость методических рекомендаций и стандартов оценки подрядчиков в критичных отраслях. «Особенно актуально это для промышленности и ТЭК, где последствия успешных атак могут выходить за рамки бизнеса и иметь системный характер. Инциденты в цепочке поставок — не частные случаи, а проявление новой модели угроз, на которую необходимо реагировать уже на нормативном и отраслевом уровне», - заключил Немкин.