Positive Hack Days 2023

Атак меньше не станет: на Positive Hack Days 12 обсудили контроль цепочек поставок

Руководители крупнейших российских компаний поговорили о критически опасных для своего бизнеса последствиях атак на цепочки поставок.
Круглый стол «Атаки на#nbsp;цепочку поставок: доверие к#nbsp;сервисам и#nbsp;технологиям в#nbsp;новом мире» прошел 19#nbsp;мая на#nbsp;фестивале Positive Hack Days 12. В#nbsp;ходе мероприятия представители крупнейших российских компаний обсудили отраслевую специфику таких атак, критически опасные и#nbsp;недопустимые для#nbsp;своих организаций последствия, оценили киберриски взаимодействия с#nbsp;поставщиками и#nbsp;перспективы результативной защиты.
В#nbsp;круглом столе приняли участие вице-президент и#nbsp;директор по#nbsp;информационной безопасности#nbsp;VK Алексей Волков, директор по#nbsp;кибербезопасности медиахолдинга Rambler&Co Евгений Руденко, директор по#nbsp;информационной безопасности Ozon Кирилл Мякишев, технический директор «СДЭК» Павел Куликов и#nbsp;директор экспертного центра безопасности Positive Technologies (PT#nbsp;Expert Security Center, PT#nbsp;ESC) Алексей Новиков.
Отвечая на#nbsp;вопрос об#nbsp;отраслевой специфике атак на#nbsp;цепочки поставок, директор по#nbsp;кибербезопасности Rambler&Co Евгений Руденко отметил, что в#nbsp;контексте интернет-медиахолдингов совершенно недопустима компрометация поставщиков контента, через которых медиа получают и#nbsp;передают данные. Для#nbsp;снижения рисков Rambler&Co создает собственные сервисы. Тем не#nbsp;менее многие интернет-компании все еще полагаются на#nbsp;сторонние ресурсы, что делает определение отраслевой специфики сложной задачей.
Эксперты выделили несколько ключевых моментов в#nbsp;ретроспективе и#nbsp;сделали прогноз относительно атак на#nbsp;цепочки поставок. За#nbsp;последние годы количество таких инцидентов значительно возросло: достаточно вспомнить атаки на#nbsp;государственные учреждения США и#nbsp;сервисы Google, на#nbsp;российские правительственные сайты, компрометацию записей 3,7 миллиона клиентов сети аптек Dis-Chem Pharmacies (ЮАР) из-за взлома стороннего поставщика услуг, атаки на#nbsp;сайты недвижимости через видеоплеер и#nbsp;многие другие.
«Рост количества инцидентов подобного рода объясняется тем, что современный интернет становится все более экосистемным: сервисы взаимодействуют друг с#nbsp;другом и#nbsp;предоставляют аналитические и#nbsp;прочие услуги. Интеграция увеличивает риски компрометации через поставщиков»,#nbsp;— комментирует Евгений Руденко.
Учитывая всплеск хакерской активности последних месяцев, директор экспертного центра Positive Technologies Алексей Новиков прогнозирует дальнейший рост числа атак на#nbsp;цепочки поставок.
«Российские компании испытывают повышенное внимание со#nbsp;стороны хакеров, тогда как раньше его можно было назвать точечным: в#nbsp;основном проводились одноступенчатые атаки, к#nbsp;которым организации приспособились. Был выработан спектр простых рекомендаций, которые позволяли избегать подобных инцидентов, хотя утечки в#nbsp;некоторой степени все равно происходили. Сейчас#nbsp;же ситуация изменилась: нападения стали целенаправленными. Хакеры изучают жертву, пробуют разный инструментарий и#nbsp;техники, чтобы достичь желаемого результата. Контрагенты потенциальной жертвы неизбежно попадут в#nbsp;поле зрения злоумышленников, а#nbsp;следовательно, тренд на#nbsp;атаки на#nbsp;цепочки поставок усилится»,#nbsp;— говорит Алексей Новиков.
По#nbsp;мнению технического директора «СДЭК» Павла Куликова, число инцидентов будет расти среди прочего потому, что IоT-сегмент, который интегрируется с#nbsp;аппаратным и#nbsp;программным обеспечением, находится на#nbsp;стадии интенсивного развития.
По#nbsp;словам директора по#nbsp;информационной безопасности Ozon Кирилла Мякишева, бизнес-модель онлайн-торговли привлекает не#nbsp;только новых клиентов и#nbsp;предпринимателей, но#nbsp;и#nbsp;киберпреступников. Возникает необходимость в#nbsp;принятии дополнительных мер для#nbsp;защиты платформ от#nbsp;подобных угроз.
«Наши команды#nbsp;ИБ и#nbsp;антифрода постоянно изучают последние публичные случаи кибератак, совершенствуют собственные системы и#nbsp;добавляют новые меры и#nbsp;средства защиты, чтобы обезопасить площадки»,#nbsp;— отметил эксперт.
Участники дискуссии поделились своим видением последствий атак на#nbsp;сторонних поставщиков, которые могут оказаться недопустимыми для#nbsp;их#nbsp;организаций. Так, Евгений Руденко среди критически опасных последствий назвал имиджевые, отметив, что для#nbsp;снижения риска нужна поддержка со#nbsp;стороны государства и#nbsp;больших игроков рынка.
«Необходимо сформировать общие стандарты и#nbsp;сформулировать пул стандартизированных требований зрелости кибербезопасности, которые компании могли#nbsp;бы соблюдать. Например, при принятии решения о#nbsp;сотрудничестве с#nbsp;той или иной организацией можно будет запросить документы и#nbsp;убедиться, что поставщик соблюдает единые требования рынка. Интернет-среда должна регулироваться с#nbsp;точки зрения кибербезопасности. Пока что для#nbsp;проверки уровня зрелости#nbsp;ИБ у#nbsp;нас нет ни#nbsp;законодательной базы, ни#nbsp;ресурсов»,#nbsp;— прокомментировал эксперт.
Участники круглого стола также дали свои рекомендации по#nbsp;обеспечению защиты от#nbsp;атак на#nbsp;цепочки поставок. В#nbsp;частности, было отмечено, что важно корректно оценивать периметр, где злоумышленники могут получить доступ к#nbsp;инфраструктуре компании.
«Любому крупному бизнесу нельзя фокусироваться исключительно на#nbsp;защите критической инфраструктуры, так как доступ к#nbsp;данным можно получить и#nbsp;иными способами, например через подрядчиков и#nbsp;партнеров»,#nbsp;— отметил Кирилл Мякишев.
Кроме того, директор по#nbsp;информационной безопасности Ozon обратил внимание на#nbsp;важность обучения сотрудников, клиентов и#nbsp;партнеров базовым правилам информационной безопасности: люди должны понимать возможные риски и#nbsp;знать основные меры предосторожности, что позволит им#nbsp;не#nbsp;попасться на#nbsp;уловки мошенников.
Со#nbsp;своей стороны, директор по#nbsp;кибербезопасности медиахолдинга Rambler&Co Евгений Руденко отметил, что сотрудники департаментов#nbsp;ИБ должны участвовать во#nbsp;всех процессах компании, включаться в#nbsp;согласование новых проектов, договоров, архитектуры. Помимо прочего, необходимо сделать рынок цивилизованным и#nbsp;регламентированным, нужны понятные требования государства, которые организации обязаны соблюдать, считает эксперт.
Рассуждая о#nbsp;концепции нулевого доверия (zero trust), директор по#nbsp;информационной безопасности#nbsp;VK Алексей Волков назвал ее#nbsp;правильной: при таком подходе самым эффективным способом обеспечения#nbsp;ИБ является одинаковый контроль всех поставщиков и#nbsp;контрагентов компании, изначальное недоверие к#nbsp;каждому звену цепочки.
«Zero trust поможет соблюсти баланс между интересами безопасности и#nbsp;бизнеса. Для#nbsp;достижения этого баланса понадобятся регуляторика и#nbsp;создание регламентов#nbsp;ИБ со#nbsp;стороны государства»,#nbsp;— отметил Алексей Волков.
В свою очередь Павел Куликов, Алексей Новиков и Евгений Руденко назвали такую концепцию во многом идеальной, не встречающейся в чистом виде, но подчеркнули, что к ней нужно стремиться.
В#nbsp;целом круглый стол на#nbsp;12-м Positive Hack Days проложил путь для#nbsp;дальнейших обсуждений и#nbsp;разработки стратегий защиты от#nbsp;атак на#nbsp;цепочки поставок. Эксперты отметили важность принятия мер по#nbsp;обеспечению безопасности в#nbsp;экосистеме современного интернета, а#nbsp;также необходимость активного сотрудничества и#nbsp;обмена опытом между компаниями, чтобы сделать цифровой мир более защищенным и#nbsp;надежным для#nbsp;всех пользователей.
Соорганизатором PHDays и Standoff уже третий год выступает IT-компания Innostage, разработчик и интегратор сервисов и решений в области цифровой безопасности. Бизнес-партнерами фестиваля стали разработчик решений для информационной безопасности Security Vision, национальный провайдер сервисов и технологий ИБ «Ростелеком-Солар» и один из крупнейших универсальных банков России Газпромбанк. Генеральный медиапартнер мероприятия — компания VK, а генеральный информационный партнер — Rambler&Co.

Информационным партнером деловой части фестиваля стала группа компаний «РБК».

Технологический партнер — «Азбука вкуса».

Партнеры PHDays 12 и участники выставки — компании Axoft, Fortis, F+ tech, «ICL Cистемные технологии», InfoWatch, MONT, OCS Distribution, UserGate, «Инфосистемы Джет», «Стахановец». Партнеры — ARinteg, Platformix, Росбанк и «УЦСБ».

Участник выставки и Standoff — «Газинформсервис».
2023-05-22 16:25