Когда друг оказался вдруг: нужно ли регламентировать безопасность поставщиков КИИ

В последние годы государство стало активнее контролировать безопасность организаций-субъектов критической информационной инфраструктуры (КИИ). С февраля 2022-го требований к ним стало еще больше – к 187-ФЗ добавились новые приказы ФСТЭК и ФСБ.

В итоге субъекты КИИ справились с волной кибератак. Чего не скажешь о поставщиках ПО, аппаратных платформ и инжиниринговых компаниях. Теперь киберпреступники атакуют их. Почему подрядчики часто становятся мишенью? Насколько они защищены от массовых атак? Стоит ли регламентировать их безопасность на уровне государства? Мнения экспертов – в этой статье.

Что происходит

Безопасность субъектов КИИ уже меньше волнует преступников в сети. Под прицелом все чаще оказываются компании, которые разрабатывают, внедряют и поставляют оборудование и ПО в такие организации. О тенденции рассказал директор ООО «Интеллектуальные Сети» Максим Никандров.

В своем докладе на RUSCADASEC эксперт уточнил, что обычно целью атак на подрядчиков становятся компрометация данных, отключение сервисов и разрушение инфраструктуры. При этом преступники используют такие методы, как DDoS, социальный инжиниринг, проникновение и ransomwfre.

За последние два года от хакеров пострадало несколько известных на ИБ-рынке компаний. Каждая из них, как минимум, столкнулась с репутационными потерями. Часть инцидентов завершилась простоем клиентских сервисов и потерей данных.

Подрядчики тоже плачут

Зачастую инциденты происходят, потому что жертвы к ним не готовы. Обычно подрядчики субъектов КИИ не вкладывают ресурсы в собственную ИБ и обходятся лишь покупкой офисного антивируса. При этом ситуация усложняется уходом западных игроков с рынка. Заменять их решения на российские аналоги – далеко не всегда выгодная затея. Да и в целом многие подрядчики, по словам Максиима Никандрова, экономят на собственной кибербезопасности.

Другая причина – к подрядчикам нет таких жестких требований, какие предъявляют к безопасности субъектов КИИ. Даже если компания проходит лицензирование, на деле этого оказывается недостаточно. Да и лицензия в поставках КИИ или инжиниринге – вещь необязательная. Множество компаний работают без нее.

Александр Хонин

Руководитель отдела консалтинга и аудита Angara Security

Мы пришли к ситуации, когда многие ИТ-инфраструктуры передаются на внешний аутсорс. При этом как обеспечивается безопасность на стороне поставщиков, всегда остается «тайной».

Даже в рамках наших аудитов мы постоянно сталкиваемся с кейсами, когда аудируемая компания в зоне своей ответственности, вроде бы, занимается ИБ, а что происходит на стороне поставщика, мы не знаем.

При этом, как отмечает эксперт, в российском законодательстве отсутствуют нормативные акты, предписывающие поставщикам заниматься собственной ИБ. Также нет требований, по которым им нужно предоставлять государству информацию о своих системах защиты.

Не пора ли требовать

Нужно ли регламентировать безопасность подрядчиков КИИ – вопрос, который разделил экспертов Cyber Media на два лагеря. Большинство считает, что это необходимо.

Артем Избаенков

Директор по развитию направления кибербезопасности компании EdgeЦентр

Контроль и требования в области информационной безопасности должны применяться не только к субъектам КИИ – организациям, которые являются целями защиты), но и к их поставщикам, партнерам и инжиниринговым компаниям – всем, кто участвует в процессе предоставления продуктов и услуг.

Есть несколько причин, почему контроль над поставщиками и инжиниринговыми компаниями также является критически важным для обеспечения надежной защиты информационной инфраструктуры. И прежде всего это цепочка поставок (Supply chain).

Так, по его словам, кибератаки часто направляются на слабые звенья в цепочке поставок. Злоумышленники могут использовать уязвимости в программном обеспечении или оборудовании поставщиков, чтобы получить доступ к системам субъектов КИИ. Очевидно, что контроль над поставщиками помогает снизить эти риски.

Алексей Филиппов

Методолог по ИБ AKTIV.CONSULTING

Чтобы эффективно управлять цепочками поставок, необходимо предъявлять к поставщикам во многом аналогичные требования. Для них в свою очередь инвестиции в ИБ могут быть конкурентным преимуществом. Но здесь важно соблюдать баланс, чтобы это не отразилось на стоимости конечной продукции.

Не менее важны, чем прямые Supply chain-атаки, и другие инциденты. Последствия по ним также могут сказываться на деятельности других компаний. 

Дмитрий Кузин

Начальник управления ИБ АСУ ТП Cloud Networks

Не стоит забывать и о более простых инцидентах, связанных с утечкой данных поставщика. Все мы помним про утечки персональных данных и взломы Яндекса, Росавиации, Твиттера, нескольких крупных ИБ-компаний.

В последнем случае речь шла именно о персональных данных. Но представьте, что в сеть утекут результаты аудитов (а в ходе их проведения собирается вся информация о сетевой архитектуре и инфраструктуре), проектные решения с указанием всех доступов и учетных записей и т.д.

Необходимость госконтроля поставщиков также подтверждает текущая законодательная база. В ряде случаев выполнять требования нужно обязательно.

Михаил Молчанов

Руководитель группы систем защиты АСУ ТП «Газинформсервис»

Чтобы достичь результата в выполнении требований ФЗ и указов президента №166 и №250 в области импортозамещения, требуется контроль не только субъектов КИИ. Также он устанавливается в отношении всех участников процесса, включая поставщиков и инжиниринговые компании.

Таким образом, подрядчики уже контролируюся государством на проектах по импортозамещению. Но нужно ли распространять эту практику на все остальные случаи – вопрос еще открытый.

Доводы против

Пока одни эксперты ждут ИБ-надзора поставщиков, другие сомневаются в этой идее и даже выступают против. Главный аргумент – ответственность за инциденты лежит на субъекте КИИ. И если он решает работать с подрядчиком, который не может противостоять кибератакам, то это только его проблема. 

Федор Музалевский

Директор технического департамента RTM Group

Мы не согласны с требованием контролировать поставщиков – субъект КИИ вправе самостоятельно выбирать подрядчика и контролировать его в соответствии с требованиями законодательства (например, на наличие соответствующих лицензий).

Регулирование поставщиков услуг может привести с излишней бюрократии и создаст почву для дополнительной коррупции.

При выборе поставщика эксперты рекомендуют обращать внимание на следующие особенности:

• достаточно ли заявленного функционала продукта;
• есть ли сертификаты регуляторов;
• степень локализации: собственная разработка производителя либо open source с доработанным интерфейсом;
• насколько качественно обеспечивается техническое сопровождение.

Если речь идет о разработке ПО «на заказ», то эксперты советуют уточнять у разработчика, какими средствами обеспечиваются безопасность кода и проверка его на уязвимости. 

Владимир Арышев

Эксперт по комплексным ИБ-проектам STEP LOGIC

Со своей стороны также стоит проверять софт: если разработчик передает код – статическими анализаторами, если дистрибутив – динамическими.

Также важным шагом к уверенности в безопасности софта является передача разработчиком так называемого Software Bill of Materials (SBOM) – это список всех open source и других сторонних компонентов, используемых в кодовой базе программного продукта.

Если же субъект КИИ выбирает интегратора, то эксперты рекомендуют оценить его опыт. Подрядчик достоин внимания, если в портфеле есть подобные проекты, в том числе с нужными системами безопасности КИИ.

Выводы

Однозначного мнения о том, стоит ли вводить ли госрегулирование поставщиков КИИ, нет. И вряд ли оно появится в будущем. Во всяком случае до тех пор, пока вопросом не займутся законодатели.

Но уже сейчас оба лагеря солидарны в одном – атаки на подрядчиков в ближайшее время продолжатся. А это значит, что инвестировать в ИБ все равно придется.