Не тащить коня в Трою. "Ростелеком" повысил ИБ-требования к подрядчикам

"Ростелеком" ввел новые, повышенные требования к подрядчикам компании в вопросах информационной безопасности. Главной причиной стали участившиеся случаи кибератак на цепочки поставок (supply chain attack). При этом сам оператор связи сообщил об усилении комплекса мер по защите цифровой инфраструктуры, задействованной при удаленном доступе и работе со сторонними компаниями.

"Сотрудники компаний-подрядчиков, которые имеют доступ к инфраструктуре "Ростелекома", отныне обязаны быть ознакомленными и следовать всем требованиям обновленного регламента. Кроме того, "Ростелеком" оставляет за собой право контролировать соблюдение требований и отзывать права доступа к информационным системам в случае выявления нарушений. Компания также ввела требования об уведомлении ее о значимых инцидентах информационной безопасности и мерах их устранения. Дочерние организации "Ростелекома" теперь тоже приравниваются к внешним подрядчикам и также обязаны соблюдать новые требования по безопасности", - говорится в сообщении "Ростелекома".

По словам директора департамента методологии информационной безопасности "Ростелекома" Михаила Савельева, усиление требований к подрядчикам - необходимый шаг в условиях растущих киберугроз. Он отметил, что "Ростелеком" делает все возможное, чтобы компания и ее партнеры соответствовали высоким стандартам безопасности.

https://www.comnews.ru/content/239316/2025-05-22/2025-w21/1008/zanimate…

Представитель пресс-службы "Ростелекома" рассказал, что одним из ключевых нововведений стало согласие подрядчика на проведение аудита соблюдения требований информационной безопасности со стороны компании. Помимо этого, партнеры оператора связи обязаны уведомлять "Ростелеком" обо всех ИБ-инцидентах и доводить до сотрудников, участвующих в исполнении договора, правила кибербезопасности.

"Ранее мы сталкивались с тем, что положения договора, касающиеся информационной безопасности, не всегда доходили до конкретных исполнителей. В новом регламенте также усилены положения, касающиеся отзыва доступов в случае выявления нарушений требований ИБ", - сказал он.

Представитель пресс-службы "Ростелекома" отметил, что пока рано судить о последствиях новых требований, так как они недавно вступили в силу. По его словам, перекладывание расходов поставщика на потребителя - сложившаяся рыночная практика, но требования компании не выходят за рамки минимально необходимого уровня обеспечения информационной безопасности.

"Если потенциальный партнер заявит, что соблюдение этих требований связано для него с дополнительными расходами, это станет поводом для нас задуматься о том, насколько надежным и безопасным является сотрудничество с такой организацией", - заявил он.

Руководитель направления RED Security SOC ООО "Ред Секьюрити" (входит в экосистему ПАО "МТС") Михаил Климов рассказал, что атаки через подрядчиков - практика, при которой злоумышленники компрометируют третью сторону, обычно поставщика или вендора, чтобы через него получить несанкционированный доступ к главной цели - ее партнеру. По классификации MITRE (Mitre Att&ck - основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками) они делятся на атаки через цепочку поставок (Supply chain attack) и атаки через доверительные отношения (Trusted relationship attacks).

"В первом случае речь идет о компрометации вендора ПО, используемого в компании, которая является целевой жертвой. Во втором - о взломе ИТ-подрядчика, имеющего сетевой доступ к инфраструктуре целевой жертвы для проведения работ", - рассказал он.

https://www.comnews.ru/content/239372/2025-05-26/2025-w22/1008/finansov…

По словам ведущего аналитика ООО "Спикател" Алексея Козлова, особенность таких атак заключается в том, что злоумышленники получают данные цели атаки не напрямую, а через уязвимости ее поставщиков, например, распространяя вредоносное программное обеспечение под видом легитимных обновлений или компонентов. Он отметил, что в 2024 г. атаки через подрядчиков вошли в топ-10 наиболее популярных векторов атаки.

С ним согласился Михаил Климов. Он поставил атаки через поставщиков на шестое место по частоте применения злоумышленниками.

"С начала 2023 г. порядка 60% компаний финансового сектора сталкивались с атаками на цепочки поставок (supply chain attack), где средний ущерб от одного такого инцидента составил 3,6 млн руб. Сегодня количество атак через цепочки поставок продолжает расти", - сказал руководитель направления в группе развития продуктов управления доступом ГК "Солар" Дмитрий Прокопенко.

Михаил Климов заметил, что внедрение процессов безопасной разработки (DevSecOps), анализа кода, SAST- и DAST-тестов и постоянный мониторинг жизненного цикла ПО - самые эффективные способы борьбы с такими атаками.

"Также компаниям стоит прибегать к услугам SOC и использовать SIEM-системы и DLP-системы для мониторинга событий безопасности и выявления подозрительной активности в реальном времени", - заключил он.

https://www.comnews.ru/content/239420/2025-05-28/2025-w22/1008/khakersk…