Ваш подрядчик — слабое звено: почему формальные проверки не работают

Большинство компаний уверены в своей защите, но забывают о критической уязвимости — подрядчиках с доступом к внутренним системам. По данным аналитиков Infosecurity, именно через сторонние организации осуществляется значительная доля успешных кибератак.

«Чаще всего проверка подрядчиков сводится к формальностям: заполнению анкет, предоставлению сертификатов. Но эти меры не дают реального понимания зрелости информационной безопасности», — комментирует Антон Воробьёв, эксперт по кибербезопасности Infosecurity. — «Организация может красиво описывать свои политики, но при этом оставлять пароли в публичных репозиториях. А потом — утечка данных или остановка деятельности предприятия в результате взлома».

ЧТО РАБОТАЕТ НА ПРАКТИКЕ

🔍 Проверка на предмет утечек: убедитесь, что информации о сотрудниках компании подрядчика нет в базах скомпрометированных логинов, email-адресов и паролей. Это может быть индикатором слабой защиты или низкой цифровой гигиены сотрудников.

🧠 Оценка культуры безопасности: узнайте, есть ли в компании подрядчика тренинги по ИБ, имеется ли внутренняя система реагирования на инциденты? Это важнее, чем наличие ISO-сертификата.

⌨️ Анализ публичного кода: просматривайте GitHub-аккаунты подрядчиков — ключи доступа, оставленные в коде, не редкость.

⌛ Тест на пилотном проекте: предоставьте подрядчику ограниченный доступ в рамках небольшого проекта и оцените, как он обращается с данными.

😒 Мониторинг даркнета: отслеживайте компрометацию данных, в первую очередь, на теневых форумах. Этот сигнал может предвосхитить официальное сообщение об утечке.

ЧТО НУЖНО ЗАКРЕПИТЬ С ПОДРЯДЧИКОМ В ДОГОВОРЕ

√ Требования о регулярных аудитах безопасности
√ Обязательную многофакторную аутентификацию для критичных систем
√ Сегментацию доступа в инфраструктуре
√ Право на проведение собственных проверок безопасности

«Если подрядчик получает доступ внутрь вашей инфраструктуры, подход должен быть не формальным, а рискоориентированным. Нельзя доверять "по бумажке"», — подчёркивает Антон Воробьёв.

#экспертиза@in4security

🩹 Фарма под атакой: киберинциденты нарушают работу аптек и клиник

В конце июля сразу несколько крупных игроков фармацевтической отрасли оказались под ударом. В результате атак вышли из строя цифровые системы аптек и медицинских учреждений.

>>> ЧТО СЛУЧИЛОСЬ

Аптеки
• Вышли из строя кассы и системы учёта
• Онлайн-заказы, бонусные программы и рецептурный сервис стали недоступны
• Часть персонала отправлена во временные отгулы, работа точек приостановлена

Клиники
• Не работала онлайн-запись и доступ к медицинским картам
• Приём вёлся вручную или по телефону
• Отдельные IT-системы оказались повреждены, часть данных могла быть утрачена

📉 Экономический ущерб от остановки процессов исчисляется десятками миллионов рублей в день.

🔐 На момент публикации в открытых источниках не зафиксировано подтверждённых случаев утечки медицинских данных — но риски сохраняются.

Команда Infosecurity готова включиться в задачу на любом этапе.

⏩Помогаем выстроить защиту до наступления инцидентов — оценка рисков, внедрение ИБ-решений, контроль доступа, резервное копирование и т.д.

⏩Если атака уже произошла — подключаемся к восстановлению, расследованию и минимизации ущерба.

Нужна консультация? Оставьте заявку на in4security.com или напишите в нашего Telegram-бота @in4support_bot.

#экспертиза

Пятничный дайджест самых интересных новостей в мире ИБ готов. Будьте в курсе!

⚫️Эксперт Infosecurity прокомментировал утечку данных российских пользователей в TikTok. Читать ⚡️

⚫️РЖД отражает около 4 млн кибератак в год. Читать ⚡️

⚫️Всплески хакерской активности предсказывают 80% будущих атак. Читать ⚡️

⚫️В Госдуме предложили проверить защиту цифровых систем компаний. Читать ⚡️

⚫️МегаФон: кибератаки становятся мощнее. Читать ⚡️

⚫️Питерский провайдер подвергся DDoS-атаки из-за рубежа. Читать ⚡️

⚫️В Apple призвали срочно обновить iOS. Читать ⚡️

⚫️Мошенники выдают себя за школьных медсестёр Читать ⚡️

⚫️Футбольные подписки стали приманкой мошенников. Читать ⚡️

⚫️У сети строительных магазинов Mile произошла утечка клиентских данных. Читать ⚡️

⚫️Телекоммуникационная компания Orange изолировала систему после кибератаки. Читать ⚡️

⚫️ИИ атакует багбаунти - эксперты жалуются на поток фейковых уязвимостей. Читать ⚡️

⚫️Правительство Великобритании обсуждает запрет выплат вымогателям. Читать ⚡️

#новости@in4security

⚖️ Верховный суд: если мошенники используют ваш бренд — доказывать, что это не вы, придётся вам

Если мошенники используют ваш бренд в интернете — отвечать всё равно придётся вам. Во всяком случае, так решил Верховный суд РФ, вернув на пересмотр дело, в котором клиент передал технику «сервисному центру», найденному в Интернете. Позже выяснилось, что сайт – фейковый, а договор и курьер – не настоящие.

❕ Что важно
⚪️Верховный суд указал: если ресурс в интернете создаёт впечатление, что он принадлежит реальному юрлицу — именно это юрлицо должно доказывать обратное.
⚪️Хотя решение ещё не вынесено, правовая позиция уже сформулирована — на неё могут опираться другие суды.

🔹 «В будущем подобные судебные дела могут стать основанием для пересмотра законодательства. Компании могут обязать отслеживать использование своего товарного знака в цифровом пространстве, чтобы предотвращать мошенничество. Но на практике это потребует системного мониторинга, на который у многих организаций просто нет ни ресурсов, ни компетенций», —прокомментировал Константин Мельников, руководитель департамента специальных сервисов Infosecurity.

▶️ Что учитывать компаниям
- Клиенты воспринимают фейковые сайты как официальные.
- Потери могут быть не только финансовыми, но и репутационными.
- Если сайт создаёт впечатление, что он ваш — бремя доказательства обратного могут возложить на вас.

▶️ Как действовать
Уже сейчас важно контролировать, как используется ваш бренд в интернете — от доменных имён и соцсетей до фейковых сайтов и объявлений. Всё больше компаний автоматизируют этот процесс, чтобы реагировать на угрозы до того, как пострадает бизнес.

⚡️ Сервис CYBERDEF помогает отслеживать упоминания бренда в открытой сети, даркнете, на закрытых форумах и в серых зонах. Это позволяет оперативно выявлять незаконное использование товарного знака, собирать доказательства и защищать интересы компании.

#экспертиза

Сегодня в Казани стартовал ежегодный форум по кибербезопасности — Softline Security Summit 2025.

С 6 по 9 августа ведущие ИБ-эксперты, представители госструктур и топ-менеджеры компаний обсудят главные вызовы: цифровую трансформацию, развитие облачных технологий и стратегии защиты бизнеса в условиях новых угроз.

Спикеры от Infosecurity

⭐️ НИКОЛАЙ АГРИНСКИЙ, исполнительный директор
➡️ 7 августа / круглый стол «ИИ vs ИБ: союз или противостояние? Как ИИ может укрепить, а не подорвать безопасность данных»

⭐️ АЛЕКСЕЙ ГРИШИН, руководитель группы пентестов
➡️ 7 августа / мастер-класс «Пентесты своими силами»
➡️ 8 августа / мастер-класс «Разбор реальных атак 2025: как хакеры ломают бизнес?»

⭐️ АНДРЕЙ НАЙДЕНОВ, руководитель дивизиона кибербезопасности
➡️ 8 августа / мастер-класс «Киберучения — как организовать и можно ли отдать на аутсорсинг»

⭐️ КОНСТАНТИН МЕЛЬНИКОВ, руководитель департамента специальных сервисов
➡️ 8 августа / мастер-класс «Кибершпионаж и разведка в Darknet: как находить утечки и угрозы?»

#мероприятие

Пятничный дайджест самых интересных новостей в мире ИБ готов. Будьте в курсе!

⚫️Минцифры: подготовил «белый список» сервисов при ограничениях интернета Читать ⚡️

⚫️В Госдуме предложили обучать госслужащих кибербезопасности Читать ⚡️

⚫️ЦБ: банки во II кв. предотвратили хищения на ₽3,4 трлн Читать ⚡️

⚫️РКН: источники DDoS чаще всего — США, Тайвань, Мексика Читать ⚡️

⚫️«Лаборатория Касперского»: против РФ действуют >70 групп Читать ⚡️

⚫️МВД: пять новых уловок — от «силовиков по телефону» до вовлечения детей Читать ⚡️

⚫️Новая схема: «звонок из военкомата» ради кода от «Госуслуг» Читать ⚡️

⚫️Поддельные QR‑коды Wi‑Fi крадут пароли и карты Читать ⚡️

⚫️ЦБ: аферы с «цифровым рублём» и виртуальными картами Читать ⚡️

⚫️МВД: больше преступлений совершают через Telegram и WhatsApp Читать ⚡️

⚫️Google подтвердила утечку клиентских данных из Salesforce Читать ⚡️

⚫️WhatsApp вводит предупреждения для незнакомых приглашений в группы Читать ⚡️

#новости@in4security

🎯 Сервис CYBERDEF обеспечил компании защиту от фейков и репутационных угроз в интернете

ЗАДАЧА
Один из заказчиков на старте внедрения DRP-решения CYBERDEF (ранее – ETHIC) попросил: «Заблокируйте всё, что нам не нравится в интернете».

РЕШЕНИЕ
Мы сразу обозначили рамки и объяснили, что запросы такого рода требуют реалистичной оценки. DRP — не инструмент «блокировки интернета», и работа по удалению контента возможна только в пределах закона. Поэтому с первой встречи мы проговорили ключевые ограничения:
❎ мы действуем строго в рамках правового поля
❎ не все материалы можно удалить
❎ есть источники, на которые нельзя повлиять ни юридически, ни технически

Вместо абстрактных обещаний мы предложили конкретный план:
✅ отслеживание источников угроз в даркнете
✅ фиксация нарушений для работы юристов заказчика
✅ инициирование блокировки мошеннических сайтов
✅ рекомендации по снижению видимости фейков в поиске

РЕЗУЛЬТАТ
Сначала заказчик сомневался. Сегодня — доверяет нам и рекомендует коллегам.

❔ У некоторых клиентов есть иллюзия, что с помощью DRP можно заблокировать всё, что угодно. Но это не так — мы работаем в рамках правового поля», — комментирует Антон Воробьёв, эксперт по кибербезопасности Infosecurity.

ВЫВОД
Признание ограничений — не слабость, а точка опоры. Прозрачный диалог на старте часто становится основой долгосрочного сотрудничества.

Подробнее читайте по ссылке ▶️

#экспертиза@in4security #кейс

👍 Как сделать кибербезопасность частью управленческого процесса и обеспечить устойчивость бизнеса

Многие компании до сих пор лишь «тушат пожары» в кибербезопасности, реагируя на инциденты по мере их возникновения. Но эффективная защита требует системного подхода — построения полноценной системы управления кибербезопасностью.

В статье эксперты Infosecurity объясняют:

🔵 почему универсальные стандарты ISO 27001 и NIST CSF не работают «из коробки»
🔵 как построить собственную систему управления кибербезопасностью
🔵 важность интеграции кибербезопасности в корпоративное управление
🔵 распределение ролей между службой ИБ, топ-менеджментом и всеми подразделениями компании

Подробнее читайте по ссылке ➡️

#экспертиза

Пятничный дайджест самых интересных новостей в мире ИБ готов. Будьте в курсе!

⚫️В России ограничили звонки через Telegram и WhatsApp Читать ⚡️

⚫️Роскомнадзор предупредил о схеме с подменой госорганов Читать ⚡️

⚫️ В России возбудили первое уголовное дело против дроповода Читать ⚡️

⚫️МВД назвало главные признаки мошенничества при онлайн-покупках Читать ⚡️

⚫️Телефонные мошенники атакуют под видом Соцфонда Читать ⚡️

⚫️В Telegram активизировался фишинг под видом подарков Читать ⚡️

⚫️44% россиян ежедневно получают подозрительные письма Читать ⚡️

⚫️США изъяли $1,1 млн у группировки BlackSuit Читать ⚡️

⚫️Найдена уязвимость MadeYouReset в HTTP/2 Читать ⚡️

⚫️Тысячи ИИ-серверов открыты для атак без защиты Читать ⚡️

⚫️Новый вредонос PS1Bot атакует через рекламу Читать ⚡️

⚫️Хакеры сменили тактику на массовый сбор данных об уязвимостях Читать ⚡️

#новости

🧑‍🎓 Предсентябрьский фишинг: как обманывают учащихся и родителей

До 1 сентября — всего две недели, что заставляет мошенников активизировать силы. Образовательная тематика, эмоции родителей, суета с покупками и поступлением — идеальная почва для социальной инженерии.

ОСНОВНЫЕ СХЕМЫ

1️⃣ Поддельные товары и услуги
Фейковые интернет-магазины с привлекательными ценами на учебную форму, канцтовары, цветы учителям. Деньги списывают, товары не доставляют.

2️⃣ Обман через чаты
Поддельные приглашения в родительские чаты или студенческие группы с просьбами о переводах «на экскурсии», «учебники» или «проживание в общежитии».

3️⃣ Звонки из «образовательных учреждений»
Мошенники представляются сотрудниками школ, вузов или психологами. Просят обновить данные в «Сферум», исправить «ошибки в документах» или пройти «тестирование». Цель — получить код доступа к Госуслугам.

4️⃣ ИИ-клонирование голосов
Мошенники с помощью нейросетей подделывают голос ребёнка, родителя или педагога и звонят «по срочному делу» — просят перевести деньги или продиктовать коды/данные для входа (в т.ч. в Госуслуги).

5️⃣ Обман абитуриентов и студентов
Предложения «гарантированного поступления», фальшивые сайты вузов с «вступительным взносом», помощь с образовательными кредитами (подменяют микрозаймами).

>>> ВОЗМОЖНЫЕ РИСКИ

👎 Кража данных банковских карт, личной информации, логинов/паролей от учебных и личных аккаунтов.
👎 Взлом аккаунта Госуслуг и оформление кредитов/микрозаймов.
👎 Потеря денег за несуществующие товары и услуги.
👎 Заражение устройств вредоносным ПО.

>>> СОВЕТЫ ЭКСПЕРТОВ

✔️ Никогда не сообщайте коды из SMS — даже «сотрудникам учебных заведений».
✔️ Общайтесь с учителями и деканатом напрямую через официальные каналы или лично.
✔️ Проверяйте информацию на официальных сайтах учебных заведений.
✔️ Используйте отдельные карты с лимитом для онлайн-покупок.
✔️ Не поддавайтесь давлению при «срочных» звонках с требованием денег или кодов.

#фишинг #мошенничество

📝 Положение 851-П: как новые требования изменили подход банков к информационной безопасности

29 марта 2025 года вступило в силу обновленное положение Банка России № 851-П, которое кардинально меняет требования к информационной безопасности в финансовой сфере.

Ключевые изменения
🟢Филиалы иностранных банков — теперь они полноправные участники регулирования ИБ.
🟢 Обязательный PDCA-цикл — системный подход к управлению безопасностью.
🟢 Принцип наивысшего уровня защиты — при совмещении видов деятельности применяется максимальный уровень.
🟢 Усиленные требования к криптографии — переход на СКЗИ с сертификацией ФСБ до октября 2025.
🟢 Антимошеннические технологии — обязательный контроль замены SIM-карт клиентов.
🟢 Новая отчетность 3-МР — замена устаревших методических рекомендаций.
🟢 Сокращенные сроки уведомлений — об инцидентах ИБ теперь нужно сообщать в течение 3 часов.

⚡️Несоответствие новым требованиям грозит штрафами до 1% от уставного капитала и ограничениями операций.

Подробный разбор всех изменений и практические рекомендации по внедрению читайте по ссылке ➡️

#законодательство #экспертиза

Пятничный дайджест самых интересных новостей в мире ИБ готов. Будьте в курсе!

⚫️Минцифры и МВД готовят «цифровую сигнализацию» от киберугроз. Читать ⚡️

⚫️МВД и Роскомнадзор обяжут операторов связи и провайдеров уведомлять о киберугрозах. Читать ⚡️

⚫️Ограничение звонков в мессенджерах оказалось эффективным средством борьбы с мошенниками. Читать ⚡️

⚫️МВД фиксирует рост поддельных приложений для записи к врачам. Читать ⚡️

⚫️Аферисты начали арендовать аккаунты в мессенджере MAX. Читать ⚡️

⚫️Мошенники угрожают уголовной ответственностью за завершение разговора. Читать ⚡️

⚫️МВД предупредило о схемах вовлечения граждан в отмывание денег. Читать ⚡️

⚫️Новый обман под видом «замены цифрового ТВ». Читать ⚡️

⚫️Мошенники научились подменять номера телефонов через электронные визитки. Читать ⚡️

⚫️NIST разработал методы против фейковых фото в документах. Читать ⚡️

⚫️Госуслуги тестируют вход через мессенджер MAX с верификацией доступа. Читать ⚡️

#новости

🎬 Мы, конечно, не Самара из фильма «Звонок», но все же напоминаем: до ожидаемого обновления 187-ФЗ осталось 7 дней. После этого ФСТЭК придет за вами.

С 1 сентября запланировано вступление в силу изменений в Федеральный закон №187-ФЗ. Главное нововведение — отраслевые перечни объектов КИИ.

ЧТО ОБЯЗАТЕЛЬНО НУЖНО СДЕЛАТЬ
✔️ Пересмотреть категорирование — новые отраслевые перечни делают это обязательным
✔️ Проверить все информационные системы — которые ранее не категорировались

ЧТО УПРОЩАЕТСЯ
🟢Четкие правила вместо субъективных трактовок
🟢 Единый подход к категорированию для всех отраслей
🟢 Проще определить принадлежность к субъектам КИИ

ЧТО ГРОЗИТ ЗА БЕЗДЕЙСТВИЕ
⚡️За невыполнение категорирования штраф — до 200 тыс. рублей
⚡️ФСТЭК дает 30 дней на устранение нарушений
⚡️За повторные нарушения — до 500 тыс. рублей

ГЛАВНАЯ ПРОБЛЕМА
🔎 Регулятор рассчитывает, что компании справятся самостоятельно. На практике у большинства организаций нет нужных компетенций, а у профильных специалистов — времени на глубокое изучение новых требований.

«Мы уже проводили подобные работы, знаем на что обращать внимание при оценке показателей, что спрашивать, какие цифры использовать», — Анатолий Сазонов, руководитель департамента соответствия требованиям по информационной безопасности Infosecurity (ГК Softline).

⏳ Не успеваете подготовиться? Наши эксперты проконсультируют. Напишите в нам в ЛС

#законодательство

🟡ИБ-команда в промышленности: 2 человека, сотни инцидентов и всё вручную

Так работает большинство предприятий — даже с SIEM. Атаки растут, штат не увеличивается, критичные события теряются в потоке.

Как справляться в таких условиях?

В статье эксперт Infosecurty рассказал:

🔴 Почему SIEM уже не хватает и где «ломаются» процессы реагирования?

🔴 Что реально автоматизировать, чтобы освободить до 70% времени команды?

🔴 4 главные ошибки при внедрении SOAR — и как их не допустить?

🔴 Кейс Infosecurity: как промышленное предприятие внедрило SOAR от Security Vision и сократило время реагирования на 80%, а нагрузку — вдвое.

🔴 Чек-лист: пора ли вам автоматизировать?

Подробнее по ссылке ➡️

#экспертиза #кейс