Бизнес тратит миллиарды на внутреннюю защиту, но уязвимость часто приходит через партнеров и фрилансеров. Эксперт разбирает
Бизнес тратит миллиарды на внутреннюю защиту, но уязвимость часто приходит через партнеров и фрилансеров. Эксперт ГК Softline разобрал реальную схему — как один разработчик на личном ноутбуке с пиратской программой открыл злоумышленникам доступ к критической инфраструктуре крупной компании. А также объяснил, почему формальные парольные политики и найм дорогого CISO не спасают, если сотрудники продолжают переходить по фишинговым ссылкам, а дети топ-менеджеров случайно качают вирусы на домашние ПК.
Константин, в чем один из главных парадоксов современной кибербезопасности, с которым сталкивается бизнес?
Представьте ситуацию: крупная компания запускает новый цифровой сервис. Разработку ведет дочерняя ИТ-организация, которая нанимает подрядчика. Внешний разработчик на личном ноутбуке скачивает «взломанную» версию программы с сомнительного сайта — вместе с ней устанавливает стилер — похититель данных. На этом цепочка взломана: злоумышленники получают логин и пароль от тестовой среды, критическая инфраструктура компании скомпрометирована.
И это реальный кейс.
Пока бизнес сфокусирован на внутренней защите, угроза приходит извне, через наименее защищенные звенья — цепочки подрядчиков и партнеров.
Как сегодня действуют злоумышленники и почему внешние атаки становятся все более эффективными?
Прямой целевой взлом — это сложно, дорого и рискованно для злоумышленника. Гораздо проще найти «слабое звено» в экосистеме жертвы. Киберпреступники действуют массово, используя хорошо известные, но эволюционирующие методики: фишинг, вредоносное ПО и компрометацию партнеров.
Опасность в том, что скомпрометированные данные мгновенно становятся товаром. Уже через неделю после инцидента информация, похищенная у того же фрилансера, может оказаться выложенной для продажи на теневых форумах в даркнете. Одна уязвимость у подрядчика порождает десятки угроз для головной компании, включая шантаж, репутационные потери и прямые финансовые убытки.
Вы упомянули социальную инженерию. Какие многоходовые комбинации используют преступники сегодня?
Если техническая защита укрепляется, основным вектором атаки становится человек. Социальная инженерия эволюционировала от примитивного фишинга до многоходовых комбинаций. Это не о просто письма с просьбой перевести деньги, а о тщательно проработанные легенды. Например, злоумышленник может представиться сотрудником службы поддержки и под видом «помощи» убедить жертву выдать доступ или подтвердить операцию.
Яркая иллюстрация: инцидент в одной госкомпании. Взломав почту инженера, злоумышленники детально изучили его переписку и выяснили, что сотрудник часто обращается к локальному администратору для получения расширенных прав. Преступники имитировали стиль общения инженера и от его имени отправили неформальный запрос на открытие доступа — якобы для проведения тестов.
Администратор, нарушив регламент, требующий официального подтверждения, пошел навстречу «коллеге». В результате было установлено майнинговое ПО, запрограммированное на запуск спустя два месяца. После этого преступники попросили доступ закрыть и удалили переписку. Инцидент был выявлен лишь два месяца спустя, когда нагрузка на серверы беспричинно возросла с 20% до 80%.
Какие еще виды атак, направленных на сбор информации, представляют опасность?
Опасны атаки, направленные на сбор вспомогательной информации, — о банковских счетах, привычках, круге общения и других деталях, которые кажутся безобидными, но позволяют злоумышленникам выстраивать более эффективное дальнейшее воздействие. Пример: последовательный обзвон банков, чтобы выяснить, где у жертвы есть счет.
Ключевая особенность подобных атак — многоуровневый и адаптивный сценарий. Преступники заранее прорабатывают варианты развития событий, подстраивая каждый следующий шаг под реакцию человека. Даже нейтральные действия постепенно вовлекают жертву в схему, ведущую к компрометации.
Какие компании находятся под ударом в первую очередь и почему?
Риски определяются не отраслью, а мотивацией злоумышленников и потенциалом выгоды. Государственные учреждения и объекты критической инфраструктуры традиционно атакуют по политическим мотивам, финансовые организации — ради монетизации.
Особенно подвержены рискам компании в активной фазе цифровой трансформации: переход на онлайн-модель увеличивает количество сетевых активов и расширяет поверхность атаки. Также привлекательны организации с большим количеством пользователей и высокими финансовыми потоками, например маркетплейсы. Часто атакуются не они сами, а их пользователи — через поддельные объявления и мошеннические схемы.
Какие системные ошибки сам бизнес создает себе во внутренней защите?
Зачастую корень проблемы лежит не в коварстве хакеров, а в ошибках самих компаний.
Одна из ключевых проблем — формальный подход к безопасности, когда средства защиты внедряются «для галочки». Классический пример — политика паролей, где редкая смена компенсируется большой длиной. Увеличение, условно, с 8 до 10 символов, не защищает от перехвата информации вредоносным ПО, а редкая смена лишь увеличивает время, в течение которого злоумышленник может использовать украденные данные.
Противоречие между бизнес-процессами и безопасностью — еще один риск. Приоритеты удобства и операционной эффективности часто преобладают над мерами защиты. Руководство может осознавать существующие угрозы, но сознательно игнорировать отдельные уязвимости.
Распространенной иллюзией сегодня является и мнение, что проблему безопасности можно решить просто наймом CISO. Однако даже дорогой специалист — не панацея. Будучи частью топ-менеджмента, CISO часто вынужден принимать решения, продиктованные бизнес-потребностями, а не исключительно требованиями защиты.
Многие компании также игнорируют историю инцидентов, а это бесценный источник информации для прогнозирования будущих угроз и подготовки соответствующих механизмов защиты. Нередко организации даже не подозревают об уже произошедших компрометациях. В нашей практике были случаи, когда демонстрация событий двухлетней давности запускала полноценные служебные расследования.
Как человеческий фактор и личные устройства сотрудников создают риски? Можете привести пример?
Техническая защита неэффективна без соответствующего уровня культуры: слабые пароли, переход по фишинговым ссылкам, хранение файлов в личных облаках — все это создает риски. Особую уязвимость представляют личные устройства коллектива, где, например, дети могут непреднамеренно установить вредоносную программу.
Яркий пример — сотрудник работал на персональном ноутбуке, а вечером его ребенок скачал с неофициального источника вредоносные файлы, что привело к заражению системы. Так злоумышленники получили доступ к корпоративной сети.
С чего компании начать выстраивание защиты?
Борьба с киберугрозами — это постоянная стратегическая игра на опережение. Подход к безопасности должен быть перманентным — непрерывным циклом обучения, аудита и адаптации. При этом необходимо смотреть не только внутрь компании, но и за ее пределы, оценивая риски всей экосистемы.
Фундаментом является многоуровневая система безопасности, включающая многофакторную аутентификацию, современные антифишинговые фильтры и регулярный аудит внешних сервисов. Критически важен мониторинг всей цепочки партнерских взаимодействий, поскольку безопасность компании не сильнее самого слабого звена в этой экосистеме.
Но ключевой элемент — это инвестиции в культуру безопасности внутри компании. Обучение должно быть системным и интерактивным, а не карательным. Речь идет не о формальных симуляциях фишинга «для галочки», а о регулярной разъяснительной работе, где сотрудники на реальных кейсах учатся распознавать угрозы. Особое внимание следует уделять молодым специалистам из поколения Z: хотя они и «дети цифры», они часто действуют на автомате и могут пропустить изощренную атаку.
Источники изображений:
Архив ГК Softline
Выбор редакции
Публикации, которые получают больше внимания и попадают в Сюжеты РБК
Рекомендации партнеров: