Кибератаки через подрядчиков. Как защититься?

IT, разработчики 1С – почему компании, которые, казалось бы, должны облегчить вам с технической и цифровой точки зрения жизнь, ваши подрядчики, могут стать серьезной угрозой для вашего бизнеса? И какие требования к ним предъявлять, чтобы защититься от кибератак? Вчера на форуме «Цифроземье» рассказал директор компании «Техномаркет» Евгений Коржов. 

Сделали выдержку для тех, кто пропустил выступление:

«Как правило, сегодня хотя бы средний и крупный бизнес следят за информационной безопасностью своей компании. Но я вас разочарую: у вас может быть идеально выстроенная система безопасности. Но при этом вы можете подвергнуться кибератакам через ваших подрядчиков – обслуживающих вас IT-компании, установщиков 1С, CRM и т. д. Казалось бы, они ведь сами айтишники, у них должно быть все идеально. Увы, нет. У самих этих компаний часто нет информации, которую кто-то хотел бы украсть. Поэтому они совершенно не вкладываются в информационную безопасность. Однако, атакам через них можете подвергнуться вы – их клиенты. Многие на это отвечают: у нас есть договор, подрядчик не может украсть какую-то информацию у меня или допустить ее утечку, за это предусмотрены очень серьезные санкции. Да. скорее всего, он сам действительно этого не сделает. Но его тоже могут взломать. И это совсем нетрудно сделать, когда в компании 3 человека. А остальные айтишники разбросаны чуть ли не по всему миру.

Конечно, самый простой способ, это запросить у подрядчика аттестаты информационной безопасности. Но очень часто это просто профанация. Что нужно? Сесть с подрядчиком и проговорить, как именно он будет обеспечивать информационную безопасность, где сидят его программисты, какие прокси-сервера он использует, какие конкретно средства защиты стоят. Вот небольшой чек-лист, что должно получиться в итоге:

☑Соглашение NDA (о неразглашении конфиденциальной информации).

☑Список требований к исполнителю по реализации им мер защиты информации. Вы можете включить их в договор или ТЗ.

☑Организация доступа через защищенное взаимодействие.

☑Четкое фиксирование хостов, с которых осуществляется доступ.

☑Учетная политика (списки пользователей с разными правами).

☑Регламенты подключения (время, идентификация).

☑Логирование и анализ действий пользователя подрядчика.

Помочь проверить все эти пункты может штатный программист или сисадмин. Если их квалификации недостаточно, то можно для разовой консультации привлечь стороннего эксперта. Например, для организации работы подрядчика и через какое-то время для контроля. Это будет в разы дешевле, чем те потери, с которыми вы можете столкнуться при кибератаке». 

• Больше полезных материалов в телеграм-канале https://t.me/factovrn