СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Блоги
Межсетевой экран ИКС
1 час назад
#Статьи #ИБ

Утечки через бывших подрядчиков: цифровой «скелет в шкафу»

Утечки через бывших подрядчиков: цифровой скелет в шкафу

изображение: grok

Введение: о чём молчат отчёты по информационной безопасности

Представьте: вы сменили замки в офисе, переписали все ключи, поставили сигнализацию. Но бывший охранник, уволившийся полгода назад, всё ещё может зайти в здание через чёрный ход, потому что кто-то забыл отключить его старую магнитную карту.

По оценкам экспертов, в 2025 году не менее трети всех подтверждённых кибератак в России прошли через взлом подрядных организаций. Каждый десятый инцидент с утечкой данных напрямую связан с остаточными доступами уволившихся сотрудников и подрядчиков.

Почему это происходит? Потому что система управления доступом выглядит так: завели человека — записали, уволили — а вычеркнуть забыли. Но если в эпоху бумажных журналов это было досадной небрежностью, то сегодня — брешь в обороне, которую хакеры научились эксплуатировать профессионально и с большим успехом.

Как это происходит?

Сценарий первый: «Спящий агент»

Классическая схема. Подрядчик выполнил проект год назад, его договор закрыт, акты подписаны. Но его учётная запись в вашей CRM, VPN или базе данных всё ещё активна. Просто потому, что никто её не заблокировал.

Что происходит дальше? Учётная запись спит. Иногда годами. Но рано или поздно эта учётка становится целью злоумышленников.

Сценарий второй: «Вечный ключ»

Современные ИТ-системы активно используют API-токены и авторизацию — удобные цифровые «пропуска», которые приложение предъявляет вместо пароля. Удобство их в том, что токен может жить годами. Именно в этом и проблема.

Представьте, что вы подключили сервис к своей корпоративной системе. Сервис получил специальный токен — «вечный ключ» от ваших данных. Потом вы перестали пользоваться этим сервисом. Расторгли договор. Платежи не идут. Но ключ остался. У кого? У компании, с которой вы больше не работаете, а также и у их не всегда надёжной ИТ-инфраструктуры.

Сценарий третий: «Доверие по наследству»

Самый коварный случай. Компания А нанимает подрядчика Б. Компания В поглощает подрядчика Б. Вместе с ней «наследуются» и старые токены доступа компании А. И вот уже подрядчик В (точнее, его система) имеет доступ не только к тем данным, к которым её подключали изначально, но и к «приданому» поглощённой компании.

Компания А об этом ничего не знает. А ключи тем временем висят в открытом доступе. Такие каскадные утечки — настоящий кошмар для служб безопасности. Потому что отследить, у кого и какие есть доступы, когда цепочка посредников достигает четвёртого-пятого звена, практически невозможно без специальных инструментов.

Почему проблема стала острой именно сейчас?

За последние пять лет компании совершили огромный рывок в цифровизации. CRM, ERP, облачные хранилища, системы видеоконференций, десятки интегрированных сервисов.

Каждое новое подключение — это новые учётные записи, новые токены, новые точки входа. Управлять этим разнообразием вручную невозможно. А автоматизированные системы управления доступом до недавнего времени были уделом крупнейших корпораций.

С 2025 года в России вступили в силу новые штрафы за утечки персональных данных. За утечку через подрядчика отвечает оператор персональных данных, то есть заказчик. Довод «это они виноваты» больше не работает. Выбрали ненадёжного подрядчика? Не проконтролировали, как он хранит ключи? Проблема заказчика.

А с 1 марта 2026 года для госорганов и организаций, поднадзорных ФСТЭК, вступил в силу Приказ №117. Он, в частности, прямо запрещает использование «общих» учётных записей для подрядчиков и требует сплошной записи их действий в инфраструктуре заказчика.

Риски больше не «гипотетические». Они превратились в прямую финансовую и административную угрозу.

Как с этим бороться?

Уровень первый: технология

Системы управления привилегированным доступом (Privileged Access Management, PAM) сегодня — это не «продвинутая опция», а базовая необходимость. Что они дают?

  • Изолированные сессии. Подрядчик не заходит напрямую на сервер или в базу данных. Он подключается к «шлюзу», который транслирует ему ровно то, что нужно, и не показывает лишнего.
  • Видеозапись и контроль. Всё, что делает подрядчик в вашей системе, записывается. В реальном времени можно увидеть, не пытается ли он скопировать базу клиентов в три часа ночи.
  • Автоматическая ротация паролей и токенов. Сервисные учётные записи получают новые пароли каждые 30-90 дней.

Но PAM не анализирует сетевой трафик. Если злоумышленник получил легитимную учётную запись — например, через старый токен подрядчика — PAM его не остановит.

Для этого случая необходим дополнительный рубеж: межсетевой экран с функциями фильтрации трафика и системой предотвращения вторжений (IPS). Такой экран анализирует не «кто зашёл», а «что делает этот пользователь в сети».

Таким решением являются межсетевые экраны ИКС. Они обеспечивают:

  • Анализ трафика — видят подозрительную активность, даже если она исходит от легальной учётной записи.
  • Блокировку угроз — пресекают вредоносные действия в реальном времени.
  • Контроль приложений — понимают, какой именно сервис или протокол пытается использовать нарушитель, и могут это ограничить.

PAM и межсетевой экран решают разные, но взаимодополняющие задачи. Первый управляет доступом. Второй контролирует трафик. Вместе они обеспечивают комплексную защиту от утечек через остаточные доступы подрядчиков.

Уровень второй: процессы

Раз в квартал служба безопасности должна устраивать аудит всех подключений. Какие учётные записи активны у подрядчиков? Какие интеграции работают с API-токенами? Какие сервисы не использовались больше 90 дней?

Принцип минимальных привилегий. Золотое правило: подрядчик получает доступ ровно к тому, что ему нужно для работы, и не более. Никаких «а вдруг пригодится». Если для выполнения задачи нужна только одна таблица в базе данных — дайте доступ только к этой таблице. И, конечно, такой доступ должен быть срочным — месяц, неделя или даже день. Если подрядчик не может уложиться — процесс продлевается через формальное согласование.

Автоматическая блокировка. Когда заканчивается договор с подрядчиком, учётная запись должна блокироваться автоматически, в тот же день. Это реализуется интеграцией систем управления доступом с реестром договоров и HR-системой.

Уровень третий: договорной

Что писать в контрактах с подрядчиками? Юристы и служба безопасности должны работать в связке. Договор с подрядчиком должен содержать:

  • Обязательство использовать только персонифицированные учётные записи
  • Требование к сроку жизни токенов и паролей
  • Право заказчика на аудит безопасности подрядчика (с возможностью внезапной проверки)
  • Обязательство уведомлять об инцидентах в течение 24 часов

Это не «бумажки», а реальные рычаги влияния. Когда подрядчик знает, что его могут проверить в любой момент, он гораздо внимательнее относится к своим внутренним процессам.

Проблема утечек через бывших подрядчиков — это не про «плохих хакеров». Это про нашу собственную забывчивость. И исправить её можем только мы сами.

Межсетевой экран ИКС
Автор: Межсетевой экран ИКС
Межсетевой экран ИКС (Интернет Контроль Сервер) — это комплексное российское программное решение для защиты корпоративных сетей, фильтрации контента и контроля трафика. Он функционирует как шлюз безопасности, объединяя функции межсетевого экрана, прокси-сервера, VPN, системы обнаружения вторжений (IDS/IPS) и почтового сервера в одном интерфейсе. Класс защиты: Относится к межсетевым экранам нового поколения (NGFW), обеспечивая глубокий анализ пакетов (DPI) и контроль приложений. Импортозамещение: Включен в Реестр российского ПО Минцифры РФ (№ 322). Сертификация: Существует версия ИКС ФСТЭК, сертифицированная для использования в госструктурах и компаниях с высокими требованиями к безопасности (сертификат № 4832).
Комментарии: