Современный бизнес устроен так, что безопасность любой организации фактически приравнивается к безопасности самого слабого звена в цепочке поставок. Каждый из нас привык инвестировать в защиту собственного периметра, но что происходит, когда угроза проникает через доверенного подрядчика?
Мы решили выяснить, как обстоит ситуация с защищенностью подрядных организаций в России. На основе анализа более 60 000 компаний нам удалось получить картину системных рисков, связанных с контрагентами.
МЕТОДОЛОГИЯ
Исследование было проведено с помощью CICADA8 CyberRating (решение класса Third-Party Risk Assessment) – платформы для оценки уровня защищенности контрагентов и дочерних организаций. Она оценивает широкий спектр критериев и на базе неинвазивного анализа формирует совокупный рейтинг защищенности организаций, который актуализируется в режиме реального времени. Рейтинг присваивается, исходя из независимой оценки организаций по трем критериям: наличие уязвимостей на ИТ-периметре (Vulnerability Rating), репутация активов, расположенных на внешнем периметре (Network Rating), и выявление утекших баз данных, ассоциированных с данной компанией (Leaks Rating).
ТРЕВОЖНАЯ СТАСТИСТИКА: "ДЫРЯВЫЙ ПЕРИМЕТР"
Результаты анализа выявили критическую ситуацию с безопасностью внешнего контура:
Мы решили выяснить, как обстоит ситуация с защищенностью подрядных организаций в России. На основе анализа более 60 000 компаний нам удалось получить картину системных рисков, связанных с контрагентами.
МЕТОДОЛОГИЯ
Исследование было проведено с помощью CICADA8 CyberRating (решение класса Third-Party Risk Assessment) – платформы для оценки уровня защищенности контрагентов и дочерних организаций. Она оценивает широкий спектр критериев и на базе неинвазивного анализа формирует совокупный рейтинг защищенности организаций, который актуализируется в режиме реального времени. Рейтинг присваивается, исходя из независимой оценки организаций по трем критериям: наличие уязвимостей на ИТ-периметре (Vulnerability Rating), репутация активов, расположенных на внешнем периметре (Network Rating), и выявление утекших баз данных, ассоциированных с данной компанией (Leaks Rating).
ТРЕВОЖНАЯ СТАСТИСТИКА: "ДЫРЯВЫЙ ПЕРИМЕТР"
Результаты анализа выявили критическую ситуацию с безопасностью внешнего контура:
Подобные ошибки в базовых правилах безопасности недопустимы в современных реалиях – управляющие порты принимают на себя свыше 60% попыток компрометации корпоративных сетей, а веб-интерфейсы существенно повышают риски дефейса или утечки данных.
Общая оценка безопасности контрагентов.
Комплексная оценка безопасности позволяет выделить как компании с удовлетворительным уровнем защиты, так тех, кто представляет неиллюзорную угрозу для партнеров:
Общая оценка безопасности контрагентов.
Комплексная оценка безопасности позволяет выделить как компании с удовлетворительным уровнем защиты, так тех, кто представляет неиллюзорную угрозу для партнеров:
ПРОФИЛЬ УГРОЗ РОССИЙСКОГО БИЗНЕСА
Главные опасения: Каждый пятый подрядчик в РФ (22,1%) представляет высокий уровень угрозы. При этом компании с допустимым уровнем риска зачастую имеют скрытые недостатки в собственной цепочке поставок.
КОРРЕЛЯЦИЯ УГРОЗ: ДИАГРАММА СПИРМЕНА
ПРИОРИТЕТНЫЕ ДЕЙСТВИЯ ДЛЯ БИЗНЕСА
С учётом того, что четверть партнёров имеют низкий уровень защищённости, традиционные методы проверки кибербезопасности подрядчиков (анкетирование) — всё равно что раскрытый зонт в урагане цифровых рисков. Подход к защите цепочки поставок должен быть централизованным, проактивным и основанным на практических инструментах проверки.
Комплексно управляйте рисками при работе с контрагентами вместе с CICADA8 CyberRating. Первые 3 компании — бесплатно.
- Приоритетное устранение критических угроз требуется 41% компаний.
- Аудит политик безопасности и управления доступом – каждый третий административный интерфейс доступен из сети Интернет.
- Обновление криптографических протоколов – 55% компаний имеют проблемы с SSL.
- Мониторинг цифровых угроз и защита бренда – свыше 10 тысяч участников рынка находятся в зоне риска, а каждая 4 компания гарантированно фигурирует в спам-листах.
С учётом того, что четверть партнёров имеют низкий уровень защищённости, традиционные методы проверки кибербезопасности подрядчиков (анкетирование) — всё равно что раскрытый зонт в урагане цифровых рисков. Подход к защите цепочки поставок должен быть централизованным, проактивным и основанным на практических инструментах проверки.
Комплексно управляйте рисками при работе с контрагентами вместе с CICADA8 CyberRating. Первые 3 компании — бесплатно.
Как более 60 тысяч контрагентов в РФ создают системные риски для бизнеса
каждая четвертая компания содержит как минимум одну критическую уязвимость
почти у 60% компаний на периметре содержатся потенциальные уязвимости критического или высокого уровня
лишь 7,8% российского рынка можно считать относительно защищенными
Анализ рисков третьих сторон: скрытые угрозы цепочки поставок
компаний держат управляющие порты на внешнем периметре
9%
организаций имеют административные интерфейсы систем в открытом доступе
5,3%
более
8 000
участников рынка предоставляют потенциально прямой доступ к своим системам управления и автоматизации бизнеса
21 октября 2025
Статистика говорит о том, что практически половина потенциальных партнеров уже содержат «открытую дверь» для злоумышленников.
ДАННЫЕ ПОД УГРОЗОЙ
Ситуация с защитой конфиденциальной информации вызывает серьезные опасения:
СЕТЕВЫЕ НЕДОСТАТКИ И РЕПУТАЦИОННЫЕ РИСКИ
Повсеместно распространены проблемы с базовыми настройками сети и репутацией активов:
Репутационные риски зачастую становятся «индикатором» скрытых угроз (например, попадания ресурсов в ботнет) и более фундаментальных проблем с безопасностью в целом.
ОТКРЫТАЯ ДВЕРЬ ДЛЯ ХАКЕРА
Широкий круг подрядчиков оставляет критические системы без внимания, в результате чего они остаются доступными извне:
ДАННЫЕ ПОД УГРОЗОЙ
Ситуация с защитой конфиденциальной информации вызывает серьезные опасения:
- подавляющее большинство компаний (72%) уже сталкивались с утечками данных;
- согласно кумулятивному рейтингу, сформированному CICADA8 CyberRating, каждая пятая организация находится в зоне повышенного риска;
- непосредственную угрозу представляют порядка четырех тысяч организаций, данные которых обнаружены в базах недавних утечек «возрастом» менее полугода.
СЕТЕВЫЕ НЕДОСТАТКИ И РЕПУТАЦИОННЫЕ РИСКИ
Повсеместно распространены проблемы с базовыми настройками сети и репутацией активов:
- свыше половины компаний имеют проблемы с репутацией: принадлежащие им ИТ-активы фигурируют в спам-базах и «черных списках», которые содержат списки потенциально вредоносных или замеченных в рассылках спама ресурсов. Это может быть следствием компрометации (включения в ботнет), злоупотребления спуфингом в отношении почтовых доменов или иных атак с применением данных активов;
- около 1,5 тысяч организаций допускают ошибки в конфигурации сервисов DNS
Репутационные риски зачастую становятся «индикатором» скрытых угроз (например, попадания ресурсов в ботнет) и более фундаментальных проблем с безопасностью в целом.
ОТКРЫТАЯ ДВЕРЬ ДЛЯ ХАКЕРА
Широкий круг подрядчиков оставляет критические системы без внимания, в результате чего они остаются доступными извне:
Сильная связь: проблемы редко существуют изолированно. Компания с низкой репутацией активов с вероятностью в 91% имеет уязвимости и подвержена рискам, связанным с алгоритмами шифрования и мисконфигурациями SSL
Управляющие интерфейсы = Уязвимости: открытые порты SSH/RDP и др. почти гарантируют наличие критических уязвимостей CVE
Неожиданный SSL: проблемы SSL имеют тесную корреляционную связь с активами в спам-базах
наиболее проблемными зоной являются известные уязвимости на периметре (CVE) и недостатки веб-приложений
незащищенные управляющие интерфейсы представляют собой системную проблему
ЧТО ЭТО ЗНАЧИТ ДЛЯ БИЗНЕСА?
