Кибератаки на цепочки поставок программного обеспечения стали самой частой угрозой для бизнеса в 2025 году. С ними столкнулись 31% компаний по всему миру. Такие данные получил внутренний исследовательский центр «Лаборатории Касперского» в результате глобального опроса «Цепная реакция: как защититься от кибератак через компрометацию подрядчиков и вендоров ПО»*.
Чаще всего этой угрозе подвергались предприятия со штатом более 2500 человек, среди них доля составила 36%. Крупные организации могут взаимодействовать c большим числом вендоров, что создаёт огромную потенциальную поверхность атаки.
Кроме того, компании любого масштаба предоставляют доступ к своим системам многочисленным подрядчикам не из ИТ-сферы. Это создаёт ещё один киберриск — так называемые атаки через доверительные отношения (Trusted Relationship Attack). С ними в 2025 году столкнулась каждая четвёртая компания в мире, этот тип атак вошёл в число самых распространённых киберугроз для бизнеса.
Большинство опрошенных понимают, что атаки на цепочки поставок ПО или через подрядчиков, с которыми выстроены доверительные отношения, могут привести к нарушению бизнес-процессов — 52% респондентов считают это ключевым последствием таких атак. Тем не менее бизнес недооценивает подобные угрозы: компрометацию цепочки поставок назвали наиболее опасной только 9% предприятий, а атаки через доверительные отношения — 8%. Чаще предприятия видят риски со стороны сложных целевых атак класса APT (14%) и программ-вымогателей (11%).
«Мы работаем в цифровой плоскости, где каждое подключение к сети, каждый поставщик, каждое внедрение влияет на уровень защищённости, — комментирует Сергей Солдатов, руководитель Центра мониторинга кибербезопасности „Лаборатории Касперского”. — Организации становятся всё более подключёнными и взаимосвязанными, и в результате поверхность кибератаки расширяется. Защита современного предприятия требует комплексного подхода, который усиливает не только отдельные системы, но и всю сеть взаимодействий, на которой строится бизнес».
Для снижения рисков подвергнуться таким кибератакам «Лаборатория Касперского» рекомендует:
- тщательно оценивать уровень ИБ вендоров ПО, прежде чем заключать с ними контракты: проверять их политики кибербезопасности, информацию о прошлых инцидентах и уровень соответствия индустриальным стандартам в области ИБ. При выборе ПО и облачных сервисов также рекомендуется оценивать данные об уязвимостях и проводить пентесты;
- добавлять в контракты требования к соблюдению правил информационной безопасности: проводить регулярные аудиты, следить за соблюдением подрядчиками установленных в вашей организации правил ИБ и протоколов оповещения о киберинцидентах;
- внедрять превентивные технологические меры, такие как принцип наименьших привилегий, принцип нулевого доверия, зрелую систему управления учётными записями, чтобы сократить ущерб в случае компрометации подрядчика;
- применять решение для комплексной защиты всей ИТ-инфраструктуры, например Kaspersky Symphony XDR. Это платформа многоуровневой кибербезопасности, которая объединяет возможности централизованного мониторинга и анализа информации, продвинутого обнаружения угроз и реагирования на них, а также инструменты исследования событий безопасности. Решение подходит для среднего и крупного бизнеса любой отрасли;
- разработать план реагирования на инциденты, в том числе в случае атаки на цепочки поставок ПО, и убедиться, что в него включены меры для быстрого выявления брешей и минимизации связанных с ними рисков, например путём отключения поставщика от систем компании;
- сотрудничать с вендорами по вопросам кибербезопасности: усилить защиту с обеих сторон и сделать это двусторонним приоритетом;
- обучать сотрудников навыкам цифровой грамотности, чтобы минимизировать риски атак с использованием методов социальной инженерии, в том числе фишинга; в этом помогут специализированные курсы или тренинги, например Kaspersky Automated Security Awareness Platform;
- использовать только лицензионное ПО и регулярно его обновлять, следить за официальными заявлениями вендоров;
- малому и среднему бизнесу — установить на корпоративные устройства надёжную защитную программу, например Kaspersky Small Office Security и Kaspersky Security для бизнеса.
* Опрос проведён по всему миру, в нём принимало участие 1714 сотрудников компаний со штатом не менее 500 человек, в том числе топ-менеджеры, вице-президенты, тимлиды и старшие специалисты.