10 вопросов, которые надо задать подрядчику до того, как он получит доступ к вашей инфраструктуре
10 вопросов, которые надо задать подрядчику до того, как он получит доступ к вашей инфраструктуре
Атаки через подрядчиков — уже не редкий кейс, а системная угроза для российского бизнеса. По данным аналитиков RED Security SOC, в 2024 году количество таких инцидентов выросло в три раза по сравнению с 2023 годом, впервые войдя в топ-6 наиболее популярных векторов первоначального доступа (T1199: Trusted Relationship по классификации MITRE ATT&CK).
По данным BI.ZONE DFIR, в 2025 году более 30% инцидентов с шифрованием или уничтожением инфраструктуры оказались связаны именно с атаками через подрядчиков — вдвое больше, чем годом ранее. Портал киберразведки BI.ZONE Threat Intelligence фиксирует 10 кибергруппировок, целенаправленно атакующих российские компании через их подрядчиков.
Механизм прост и эффективен: крупные российские компании за последние годы существенно подняли уровень защиты собственного периметра — фишинг и брутфорс перестают приносить результат. Зато защищённость подрядчиков, имеющих легитимный доступ в инфраструктуру заказчика, как правило значительно ниже и слабо контролируется. Злоумышленники взламывают слабое звено — и входят в корпоративную сеть «с чёрного хода», под видом доверенного партнёра.
ФСТЭК России разработала методические рекомендации по требованиям к подрядчикам для субъектов КИИ ещё в 2022 году, однако пока они носят рекомендательный характер. Это означает, что до закрепления норм на законодательном уровне заказчики должны самостоятельно выстраивать защиту через условия контракта и регулярные проверки.
Ниже — 10 вопросов, которые позволяют выйти за рамку «есть ли документы» и убедиться, что безопасность подрядчика работает на практике.
1. Как убедиться в реальном уровне безопасности подрядчика, а не просто в наличии документов?
Аттестат соответствия ФСТЭК, выписка из реестра аккредитованных организаций по защите информации или декларация об «ISO 27001» — это отправная точка, а не финишная черта. По данным Лаборатории Касперского, компрометация через подрядчиков трудно обнаруживается именно потому, что действия злоумышленников неотличимы от легитимной активности сотрудников подрядной организации: у жертвы нет оснований поднять тревогу.
Что запросить конкретно: действующие сертификаты с актуальными датами аудита (не старше 12 месяцев), отчёты независимой проверки, результаты последнего пентеста внешней командой, документальное подтверждение процедур внутреннего контроля.
Инструмент: шаблоны оценки соответствия, чек-листы аудита, сверка с реестрами ФСБ и ФСТЭК.
2. Как подрядчик будет поддерживать безопасность в течение всего сотрудничества?
Разовая проверка на входе недостаточна. Российские эксперты из RED Security SOC подчёркивают: взломанные подрядчики крайне редко способны оперативно обнаружить компрометацию и не всегда уведомляют заказчиков и НКЦКИ о факте взлома. Это означает, что заказчику нельзя полагаться только на честность подрядчика — нужны независимые механизмы контроля.
Зафиксируйте в договоре: периодичность плановых проверок (не реже раза в квартал), обязательное уведомление заказчика при изменениях в составе персонала с привилегированным доступом, обновлениях ключевых систем и выявленных уязвимостях.
Контроль должен быть непрерывным, а не точечным.
3. Кто именно в компании подрядчика управляет доступом к учётным записям и как это контролируется?
По данным Solar JSOC, к концу 2024 года доля инцидентов, связанных с компрометацией учётных записей, выросла до 35% всех зафиксированных атак. Смена паролей, выдача прав, сброс МФА — каждое из этих действий должно инициироваться только по формализованному запросу со стороны заказчика с обязательной фиксацией в журнале.
Отдельная уязвимость в российской практике — устаревшие версии Bitrix и Microsoft Exchange, RDP без двухфакторной аутентификации. По данным SOC Forum, более 60% корпоративных атак в России связаны именно с непропатченным Bitrix, которым пользуются многие подрядчики.
Спросите: кто именно является владельцем процесса управления доступами? Есть ли PAM-система?
4. Как проверить, что доступы выдаются и отзываются правильно?
«Забытые» учётные записи подрядчиков — один из наиболее распространённых векторов. Solar JSOC в своём отчёте за 2024 год особо указывает: банки редко становятся жертвами этой проблемы именно потому, что в них «нет неучтённых активов и забытых учёток от подрядчиков». Для всех остальных отраслей ситуация обратная.
Попросите показать: реальные заявки на выдачу/отзыв доступа за последние 90 дней, журналы действий с метками времени, результаты последней внутренней проверки прав. Трассировка жизненного цикла доступа — от заявки до удаления — должна быть непрерывной.
5. Как независимо убедиться, что меры безопасности подрядчика работают на практике?
ФСТЭК в своих методических рекомендациях для субъектов КИИ прямо указывает на право заказчика проводить аудиты и пентесты подрядчика. Воспользуйтесь этим правом. Пентест, проводимый самим подрядчиком и предоставляемый заказчику как «доказательство», — конфликт интересов.
Настаивайте на независимом аудите силами организации, аккредитованной ФСТЭК или ФСБ. Зафиксируйте в договоре периодичность (как минимум ежегодно) и право заказчика ознакомиться с полным отчётом, а не с резюме.
Право на аудит подрядчика можно и нужно включать в контракт — это прямо предусмотрено методическими рекомендациями регулятора.
6. Как контролируются OAuth-подключения и API-доступы, которые дают широкие права?
API-интеграции с 1С, корпоративными порталами на Bitrix, СЭД и ERP — стандартная практика российских подрядчиков. Широкие права, выданные при интеграции, часто остаются активными после завершения проекта или смены исполнителя. Это тихая точка входа для злоумышленника.
Требуйте: актуальный реестр всех активных интеграций с указанием уровня прав, принцип минимальных привилегий при выдаче токенов, задокументированный порядок отзыва токенов при завершении работ, мониторинг аномальной API-активности.
7. Какова ответственность подрядчика, если атака произойдёт через его внутренние процессы?
Эксперты Forbes Россия прямо указывают: заказчики могут и должны фиксировать в контракте финансовую ответственность за ущерб в результате компрометации, обязательное уведомление об инцидентах и доступ к логам информационных систем подрядчика. Пока требования ФСТЭК носят рекомендательный характер — договор остаётся главным инструментом защиты интересов заказчика.
Минимальный набор условий: конкретные сроки уведомления (рекомендуется до 24 часов), штрафные санкции за несвоевременное уведомление, обязательство уведомлять НКЦКИ, порядок совместного расследования инцидента.
Без этих пунктов в договоре взыскать ущерб с подрядчика практически невозможно.
8. Как отслеживаются действия сотрудников подрядчика с высокими привилегиями?
RED Security SOC описывает свою практику: аналитики строят детализированные профили стандартного поведения каждого подрядчика — кому, откуда и к каким системам можно подключаться. Любое отклонение от профиля считается подозрением на инцидент. Это эффективный инструмент, но он пока не распространён широко.
Минимальный стандарт для заказчика: полная фиксация всех операций привилегированных пользователей (PAM-журналирование), мониторинг аномалий поведения, оповещения о выходе за рамки согласованных работ, желательно интеграция с вашей SIEM.
9. Гарантирует ли подрядчик изоляцию ваших данных и доступов от других клиентов?
Если подрядчик обслуживает несколько заказчиков через общую инфраструктуру или единые административные учётные записи — компрометация одного клиента немедленно создаёт риск для всех остальных. По данным Лаборатории Касперского, именно этот механизм позволяет злоумышленникам через одну взломанную организацию получить доступ к десяткам жертв.
Потребуйте: матрицу разграничения доступа между проектами/клиентами, подтверждение раздельных учётных записей для каждого заказчика, описание технических мер изоляции (сетевая сегментация, отдельные VPN-туннели, разделение прав администрирования).
10. Как быстро подрядчик сообщит об инциденте и как проверить его процессы заранее?
Взломанные подрядчики в России крайне редко оперативно детектируют компрометацию — на это указывают как RED Security, так и Лаборатория Касперского. Ждать, пока подрядчик сам обнаружит проблему, нельзя. Зафиксируйте SLA: срок первичного уведомления (до 24 часов), каналы связи (включая резервные), ответственных лиц с прямыми контактами.
Но главное — не ждите реального инцидента. Проведите табличное учение: попросите подрядчика разыграть сценарий компрометации учётных данных и показать, как выглядит его реальный процесс реагирования. Если подрядчик затрудняется — это ответ сам по себе.
Право на доступ к логам и право потребовать совместное расследование должны быть прописаны в договоре до подписания, а не после инцидента.
Вывод
Подрядчик с доступом к вашей инфраструктуре — это расширение вашего периметра безопасности. Пока ФСТЭК закрепляет требования на законодательном уровне, ответственность за контроль лежит на заказчике. Десять вопросов выше — минимальный чек-лист для оценки реальной, а не декларируемой защищённости подрядчика.
Ответы на них помогут отличить подрядчика, который управляет безопасностью, от того, кто только документирует её.