Ваш контрагент — ваша уязвимость: зачем и как проверять цифровую гигиену партнера
Изображение: grok
Просроченный домен, случайно опубликованный в сети конфиденциальный договор или учетные данные сотрудника в утечке данных – как одна такая «мелочь» может привести к многомиллионного ущерба? Зачастую наиболее серьезные угрозы для компании связаны не с прямыми хакерскими атаками, а именно с цифровой небрежностью партнеров. О том, как отслеживать цифровые риски не только в собственном, но и внешнем периметре, – рассказывает Кристина Буренкова, руководитель направления отдела анализа и оценки цифровых угроз Infosecurity «Софтлайн Решения» (ГК Softline).
СКРЫТЫЕ УЯЗВИМОСТИ ПАРТНЕРА
Утрата контроля над доменными именами и субдоменами контрагента – одна из самых критичных цифровых угроз. Проблема часто кроется в несовершенстве внутренних процессов: нецентрализованный учет, уход ответственного сотрудника или простая человеческая ошибка, ведущая к просрочке регистрации. Этим пользуются киберсквоттеры – профессиональные охотники за «выпавшими» цифровыми активами. Они регистрируют просроченный домен и требуют за его возврат выкупа, размер которого часто масштабируется под бизнес правообладателя и может достигать миллионов рублей. Известен случай, когда компания, чья деятельность зависит от онлайн-привлечения клиентов, была вынуждена заплатить за возврат домена 2 миллиона рублей.
Кроме финансового шантажа, захваченный домен, ассоциирующийся с брендом, могут использовать для размещения фишингового сайта, онлайн-казино или иного запрещенного контента. В информационном поле могут появиться громкие заголовки о «компрометации данных» компании, хотя технически был скомпрометирован актив партнера. Также компании-владельцу бренда придется нести юридические издержки, доказывая непричастность к противоправной деятельности на этом домене.
Второй серьезный риск – обнаружение конфиденциальных документов партнера в открытом доступе из-за ошибок в настройке веб-сервера или небрежности сотрудников. В индексы поисковых систем могут попасть договоры с грифом NDA, внутренние инструкции и даже схемы объектов критической информационной инфраструктуры (КИИ). Такая утечка становится инструментом для целевого фишинга, ведет к нарушению соглашений о неразглашении с сопутствующими судебными исками и санкциями, а в крайнем случае – создает прямую угрозу физической безопасности.
Низкая культура кибербезопасности партнера часто проявляется в скомпрометированных учетных данных. Массовое присутствие корпоративной почты в утечках данных или использование ее для регистрации на сомнительных ресурсах обычно свидетельствует об отсутствии двухфакторной аутентификации. Получив доступ к учетным записям сотрудников партнера, злоумышленники могут проникнуть в общие бизнес-системы (CRM, ERP, биллинг) или использовать почту руководства для организации высокодостоверных мошеннических атак на компанию, включая инициацию поддельных платежных поручений.
Глубинные проблемы внутреннего контроля партнера также могут проявляться в деятельности его сотрудников в даркнете, например, в предложениях о продаже товаров со склада. Такие находки служат маркером системных пробелов в управлении безопасностью и повышают риски более скрытых угроз: утечек данных, внутреннего мошенничества и общей ненадежности партнера как ответственного звена в цепочке поставок.
Эта же небрежность распространяется на техническую сферу. Частой и крайне опасной находкой становятся открытые репозитории кода: публичные Git-аккаунты сотрудников или неправильно настроенные внутренние системы. Последствия варьируются от раскрытия информации о проектах и ключевых специалистах, что облегчает таргетированные атаки, до критического экспонирования файлов с учетными данными, API- или интеграционными ключами. Последнее представляет собой прямую лазейку для немедленного доступа к внутренней инфраструктуре.
ЧТО ОБЫЧНО УПУСКАЮТ ПРИ СТАНДАРТНОЙ ПРОВЕРКЕ
Компании часто подходят к проверке контрагентов поверхностно, упуская ряд критически важных аспектов, что может привести к значительным скрытым рискам.
Первый пробел – неполный поиск доменных имен, связанных с деятельностью компании. Проверка обычно ограничивается адресами, официально зарегистрированными на юридическое лицо. Однако для полной картины необходим активный поиск всех связанных доменов по историческим записям DNS, IP-адресам и другим цифровым следам. Распространена ситуация, когда домен регистрировался на сотрудника для проекта, а после его ухода право владения не было переоформлено. Такой адрес выпадает из поля зрения, перестает обслуживаться, но остается в истории браузеров и индексах поисковых систем. Его можно перехватить, и он станет инструментом для фишинга, распространения вредоносного ПО или нанесения репутационного ущерба бренду.
Второй – отсутствие оценки степени скомпрометированы почтовые адреса ключевых лиц. Хотя общий факт утечки корпоративной почты может быть установлен, компании редко анализируют, чьи именно адреса скомпрометированы. Утечка ящика рядового сотрудника и почты генерального или финансового директора несет принципиально разный уровень угрозы. Адреса топ-менеджеров являются приоритетной целью для целевых атак, мошеннических схем и социальной инженерии.
Третий – игнорирование контекста утекших учетных данных для корпоративных систем. Часто не анализируется, к каким именно корпоративным системам предоставляют доступ скомпрометированные логины и пароли. Наличие в открытом доступе учетных записей для CRM, ERP, биллинговых или административных панелей представляет собой прямую угрозу.
Что касается решения о проведении проверки, регулярный мониторинг базовых параметров можно вести силами внутренней ИБ-службы. Однако для глубокого аудита перед сделкой или при работе с критически важными партнерами рекомендуется привлекать внешних экспертов. Они обладают отработанной методологией, доступом к закрытым источникам и обеспечивают независимую оценку.
ПОЧЕМУ ВАЖЕН НЕ РАЗОВЫЙ АУДИТ, А ПОСТОЯННЫЙ МОНИТОРИНГ?
Зачастую компании проверяют контрагента единично – до заключения партнерских отношений (так называемый due diligence). Но практика показывает, что необходима регулярная проверка.
Бизнес-среда и технологии постоянно меняются. Настройки систем обновляются, сотрудники совершают ошибки, появляются новые уязвимости. Ситуация, при которой сегодня у контрагента не выявлено критических проблем, не гарантирует безопасности завтра. Яркий пример: в результате человеческой ошибки или сбоя в конфигурации на корпоративном сайте партнера может стать публично доступен каталог с внутренней документацией. В этом случае возникает «гонка»: кто первым обнаружит эту уязвимость – злоумышленник или компания/партнер, чтобы оперативно ее устранить.
Передовые организации внедряют практику регулярного аудита ключевых партнеров именно потому, что риски постоянно эволюционируют. Риски, актуальные сегодня, могут измениться через полгода: произойдет утечка, истечет срок регистрации критического домена или появится новый уязвимый субдомен. Без периодического контроля эти изменения останутся незамеченными до момента нанесения прямого ущерба.
В целом, частота мониторинга зависит от степени доверия к партнеру и его роли в бизнес-процессах. Для всех действующих контрагентов достаточно поверхностной проверки раз в квартал. Углубленный аудит с привлечением внешних специалистов необходим перед подписанием крупных контрактов, особенно если партнеру предоставляется доступ к внутренним системам компании, а также в случае возникновения информации о возможных инцидентах безопасности на его стороне.
ОРГАНИЗУЕМ НА ПРАКТИКЕ МОНИТОРИНГ ПАРТНЕРОВ
В первую очередь стоит обратить внимание на домены контрагента. Даже у крупных компаний нередко обнаруживается, что критически важный домен зарегистрирован на бывшего сотрудника или срок его регистрации истекает через пару недель. Такую информацию легко получить через открытые Whois-сервисы. Кроме того, стоит убедиться, что сайты контрагента не попали в черные списки из-за распространения вредоносного ПО, воспользовавшись системами вроде VirusTotal.
Также стоит проверить утечки данных, особенно учетных записей ключевых сотрудников. Если электронная почта генерального или финансового директора всплывает в открытых базах, это с высокой долей вероятности говорит о слабой культуре безопасности в компании-партнере: отсутствии двухфакторной аутентификации или использовании одинаковых паролей на разных ресурсах. Для такой проверки существуют специализированные открытые сервисы.
Не менее информативным может быть и простой поиск в интернете. Иногда конфиденциальные документы, коммерческие предложения или даже пароли оказываются в открытом доступе по недосмотру сотрудников. То же касается и публичных репозиториев на GitHub, где разработчики могут случайно выложить ключи доступа или фрагменты внутреннего кода, содержащие критическую информацию.
О многом говорит и цифровой след персонала. Если сотрудники в мессенджерах и соцсетях пишут о внутренних процессах, выкладывают фото пропусков или скриншоты рабочих экранов, это тревожный сигнал. Появление же баз данных партнера в открытых или теневых каналах требует немедленной реакции.
ВЫВОД
Поддержание цифровой гигиены перестает быть исключительно внутренней задачей. В современных условиях она становится критически важным элементом оценки и мониторинга ключевых партнеров. Интеграция регулярной проверки цифрового следа контрагентов в общую систему корпоративной безопасности – это необходимое условие для устойчивого и защищенного ведения бизнеса. Это позволяет управлять рисками проактивно, а не разбираться с последствиями взлома, который начался не во внутреннем периметре.
В малом и среднем бизнесе ответственность логично возложить на собственника или исполнительного директора – они принимают риски и видят всю картину. В крупных компаниях нужна кросс-функциональная координация: технический мониторинг (ИБ), оценка юридических и репутационных рисков (служба безопасности, комплаенс) и контроль финансовых последствий (финансовый блок). Владельцем процесса рекомендуется назначать директора по безопасности или риск-менеджера – именно они сводят данные и инициируют меры реагирования.
