Атаки на подрядчиков: эксплуатация доверия. Исследование «Инфосистемы Джет»

Эксперты компании «Инфосистемы Джет» провели исследование , посвященное анализу проблем и рисков, связанных с атаками через сторонние организации, когда злоумышленники атакуют целевую компанию не напрямую, а через ее доверенных партнеров, поставщиков или подрядчиков.

Хотя расходы компаний на информационную безопасность в последние годы существенно растут, в основном средства вкладываются в защиту периметра и мониторинг ИБ. Исследование показывает, что риски, связанные с атаками на поставщиков, в большинстве случаев оказываются вне фокуса внимания, что приводит к многочисленным случаям взломов через подрядчиков. За последнее время публичными стали десятки крупных инцидентов. Обычно подобные проблемы компании стараются не афишировать, поэтому реальное количество таких случаев гораздо выше.

Основные цифры из исследования:

• 80% компаний используют такие же защитные меры в отношении подрядчиков и поставщиков услуг, как и в отношении удаленных работников компании.
• Лишь 20% компаний определяют набор защитных мер исходя из специфики взаимодействия и профиля риска поставщика.
• Менее 10% компаний проводят мероприятия по оценке уровня информационной безопасности поставщика услуг. Оценка проводится в основном с использованием опросных листов и часто носит формальный характер — не влияет на дальнейшее решение о выборе поставщика или архитектуры подключения к ресурсам компании.
• 38% компаний для обмена большими файлами со сторонними компаниями используют внешние бесплатные сервисы. При этом сотрудник – инициатор обмена, как правило, самостоятельно определяет требования к безопасности, руководствуясь принципами скорости и удобства.

Реклама. Рекламодатель «Инфосистемы Джет», ОГРН 1027700121195