В 2025 году ни для кого, в том числе для отраслевых регуляторов, не является откровением факт резкого увеличения числа кибератак на цепочки поставок для крупных организаций России. Мы с Вами, специалисты по обеспечению информационной безопасности, стали гораздо чаще, чем даже год назад, формировать и направлять в адрес представителей подрядных организаций рассылки, уведомления, рекомендации, допсоглашения на тему профилактики защиты от атак категории «supply chain» (атак на цепочки поставок). Представители правоохранительных органов регулярно обращают внимание на необходимость, важность и актуальность выполнения требований по защите информации при взаимодействии не только с доверенными, а с любыми сервис провайдерами вне зависимости от сути договора, формы или канала предоставления/получения услуги. В текстах требований по защите информации, предъявляемых к подрядчикам, контрагентам и поставщикам услуг, все чаще стали появляться такие пугающие обывателей и неопытных юристов термины, как «указания Федеральной службы по техническом и экспортному контролю» или «приказ Федеральная службы безопасности».

В свою очередь отдельные отраслевые регуляторы занимают совершенно разные позиции в отношении противодействия атакам на цепочки поставок.

К примеру, Центральный Банк РФ, занимает в данном вопросе активную позицию, с участием представителей ФинЦЕРТ применяет методы коллективного управления и оповещения подконтрольных кредитных и некредитных финансовых организаций о возникающих в отрасли киберугрозах.

Как следует из опубликованного отчета о кибератаках на банки РФ в 2024 году, в результате оперативного реагирования со стороны ФинЦЕРТ на полученную по достоверным каналам информацию было своевременно/превентивно оповещено более 15 банков, среди которых были системно значимые организации.

С целью накопления и анализа максимально полной информации о компьютерных атаках, совершаемых злоумышленниками на организации финансовой сферы, ФинЦЕРТ использует современные методы и инструменты, в том числе мониторинг открытых интернет-источников и OSINT. Для минимизации рисков реализации атак класса supply chain на банки ФинЦЕРТ запустил в 2024 году две параллельных инициативы:

• организацию прямой коммуникации с представителями подразделения информационной безопасности компаниям, подвергшимся кибератакам на цепочки поставок;
• оповещение организаций финансовой сферы о возможной компрометации компании, являющейся для них поставщиком ИТ-решений.

Подход Минцифры в данном вопросе более глобальный. Регулятор не декомпозирует угрозы и не описывает типы современных кибератак, а говорит в целом про необходимость обеспечения информационной безопасности, операционной надежности и защиту от всех тивоп потенциально деструктивного воздействия. С этой целью выпущены методические рекомендации по формированию перечня недопустимых событий для обеспечения непрерывности операционной деятельности организаций при выполнении показателей оперативного рейтинга эффективности и результативности ответственных за цифровую трансформацию. Одним из примеров реализации данных недопустимых событий в такой организации выступает атака на цепочку поставок.

ФСТЭК РФ на регулярной основе рассылает в адрес контактных лиц организаций, признавших себя субъектами КИИ, завершивших категорирование объектов и занесенных в реестр организаций — субъектов со значимыми объектами КИИ, информационные сообщения (тема/хэштег таких писем обычно сформулирован, как «О мерах по повышению защищенности информационной инфраструктуры Российской Федерации») с предупреждениями о возможных кибератаках, осуществляемых злоумышленниками через Интернет из-за пределов РФ. В числе прочих уведомлений ФСТЭК информирует свои подведомственные организации об угрозе реализации атак на цепочки поставок (категория «supply chain») и дает практические рекомендации, как минимизировать возможные угрозы. Параллельно с информационными рассылками эксперты ФСТЭК активно проводят оценку показателей состоянию обеспечения безопасности значимых объектов КИИ РФ в соответствии с Методикой оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ РФ, утвержденной ФСТЭК РФ 02.05.2024. По результатам указанной оценки за период с 2024 по 2025 год ФСТЭК установлено, что в 45% проверенных субъектов КИИ уровень состояния обеспечения безопасности объектов КИИ критически низкий. Это свидетельствует о наличии (практически доказанной испытаниями) возможности реализации актуальных сценариев кибератак на данные организации. Одним из таких сценариев кибератак эксперты ФСТЭК называют схему атаки на (через) цепочки поставок. При этом, не исключаются иные комплексные / целевые атаки, о которых ФСТЭК ранее предупреждал субъекты КИИ в своих рассылках.

Позиции иных отраслевых регуляторов в отношении профилактики и противодействия атакам на цепочки поставок по состоянию на май 2025 года официально не сформулированы.

Попробуем систематизировать и сформулировать, что из себя представляют ТОП-10 типовых требований, которые эксперты по информационной безопасности рекомендуют включать на этапе согласования (или утвердить дополнительным соглашением к существующему договору с подрядчиком) в договоры с доверенными контрагентами для минимизации юридических, финансовых и имиджевых последствий от реализации атаки на цепочки поставщиков. Эти же рекомендации целесообразно учитывать крупных организациям при составлении договоров в рамках холдинговых структур для выстраивания/пересмотра юридических отношений с дочерними и зависимыми компаниями.

Рекомендации в договоры — минимизация последствий атак на цепочки поставок:

1. В типовых формах договоров прописать требования по организации и соблюдению мероприятий по информационной безопасности, включающих правила и условия предоставления доступа к информации каждой из сторон, а также юридические последствия и ответственность за нарушение подобных требований.
2. Не допускать представителей подрядчика (на уровне интерфейсов систем) к информации, составляющей коммерческую тайну в организации или к персональным данным субъектов различной категории, если на это не получено письменно согласие и/или это явным образом не прописано в договорах.
3. Если организация признает себя субъектом критической информационной инфраструктуру РФ, она должна исключить (не допускать) удаленный доступ представителей подрядных организаций внутрь защищаемого сетевого периметра, в т.ч. к системам, являющимся объектами КИИ различной категории значимости.
4. Для организаций, использующих модель аутсорсинга для администрирования собственных автоматизированных решений, требуется ограничить доступ представителей подрядчика к системам и интерфейсам управления в промышленном контуре, а также исключить доступ подрядчиков к чувствительной информации на уровне прикладных администраторов систем.
5. Придерживаться принципов минимальной достаточности в процессе предоставления физического и логического доступа подрядчиками внутри защищаемого периметра организации. Выделить для подрядчиков права доступа с ограниченными и непрерывно контролируемыми со стороны организации полномочиями. По согласованию с подрядчиком применять (внедрить в организации) двухфакторную/мультифакторную аутентификацию пользователей при доступе к ИТ-ресурсам, в т.ч. дистанционном.
6. Выявлять события, соответствующие попыткам компрометации (перебор паролей, изменение адреса локации по сравнению с последним успешным входом, замена IP-адреса терминала и пр.) реквизитов доступа представителей подрядных организации.
7. Выделить рабочие места представителей подрядных организаций в отдельный сетевой сегмент, отделенный от основной инфраструктуры межсетевым экраном. На постоянной основе выявлять в данном сегменте события информационной безопасности с признаками инцидентов.
8. Ограничить использование представителями подрядной организации съемных носителей информации (в т.ч. подключаемых через USB-flash, Bluetooth и иные интерфейсы) внутри защищенного периметра и на рабочих станциях организации. Использовать преимущественно контролируемые беспроводные подключения с предварительной фильтрацией всей поступающей от подрядчика в электронном виде информации на предмет наличия программ с потенциально опасными последствиями.
9. Ограничить представителям подрядчика возможность удаленного доступа из внутренней (вашей) сети через Интернет к собственным ресурсам их материнской компании, в т.ч. с применением технологии двунаправленного VPN. Рассмотреть необходимость/целесообразность дальнейшего поддержания (при наличии) постоянного действующего VPN-соединения между собственной сетью и внутренними сетями подрядных организаций. Перестроить архитектуру сети и внедрить практику регулярной перезагрузки и фильтрации траффика внутри VPN–каналов.
10. Ограничить внутренними адресами корпоративной почты возможность применения представителей подрядчика собственных корпоративной электронной почты, в т.ч. с доступом на получение/отправку писем в/из Интернет. Особое внимание рекомендуется обратить на блокировку возможности отправки/получения электронных сообщений на/с электронные адреса представителей подрядных организаций, размещенные на иностранных (не доверенных) хостингах и порталах (такие, как gmail.com, apple.com, me.com и пр.)