ИТ-подрядчики – слепая зона

Сотрудничество с ИТ-подрядчиками не всегда безопасно

С каждым годом растет количество кибератак, в том числе на цепочки поставок и доверенные каналы¹. Опасная тенденция!

Как правило, ИТ-подрядчики предоставляют программное обеспечение и оказывают техническую поддержку множеству клиентов. Утечка у подрядчика ставит под удар десятки компаний, которые открыли ему доступ к своим данным. 

Причем чаще киберпреступники стремятся увеличить масштаб диверсии. Они атакуют поставщика программы, через которую проходят закупки и коммуникация с клиентами. Так бизнес лишается важного рабочего инструмента, что влечет панику, простой и потери.

Например, взлом системы регистрации пассажиров и багажа негативно сказался сразу на нескольких европейских авиакомпаниях и аэропортах. Часть операций пришлось выполнять вручную, сотни рейсов отменили².

В марте 2026 года злоумышленники разместили зараженные вирусом версии популярной библиотеки LiteLLM, которые доставляли в системы жертв вредоносные скрипты и крали данные³.

И конечно, киберпреступники пытаются получать прибыль с атак. Они захватывают доступ к системам и просят деньги за восстановление данных, но гарантий не дают. Согласие на условия злоумышленников лишь усиливает их азарт – сумма выкупа начинает расти. А компании остается платить штрафы и «штопать» репутацию.

Рискованные ошибки при работе с ИТ-подрядчиками

Ошибка № 1: не думать о базовых правилах безопасности.

В 2025 году мы провели исследование, в котором приняли участие 231 предприятие малого и среднего бизнеса. Результаты опроса показали, что 64,3% организаций не контролируют трансграничную передачу персональных данных, а 10,9% респондентов даже не знают, перенаправляют ли они информацию за границу. Когда утечка происходит по вине ИТ-подрядчика, часто ответственность считают его проблемой, хотя юридические риски остаются у компании.

Бизнес не уделяет должного внимания элементарным правилам безопасности. Лишь 3,91% сотрудников, отвечающих за сохранность данных, заняты информационными технологиями. Остальные – юристы (43,04%), специалисты в сфере информационной безопасности (16,09%), HR-специалисты (12,61%), менеджеры (10%) и комплаенс-специалисты (5,65%).

77,6% респондентов пугают проверки Роскомнадзора, при этом утечки вызывают опасения у 57,8% участников опроса. Бизнес больше боится наказаний, чем инцидентов. Репутационные риски от утечек мало кого волнуют – только 12% респондентов считают, что безопасность персональных данных влияет на бренд.

Ошибка № 2: передать подрядчику административные права и годами не закрывать доступ к данным.

Так вся инфраструктура держится на честном слове подрядчика. И если по его недосмотру хакеры попадут в вашу систему, даже качественная защита не поможет. Вот представьте, что однажды забытая учетная запись подрядчика вдруг становится активной: кто-то выгружает и копирует гигабайты информации, а после блокирует доступ, шифрует систему и удаляет базы данных.

Мы провели опрос, в котором приняли участие организации из разных областей. Так, из них 23,24% работают в сфере технологий, медиа и телекома, 16,96% оказывают консультационные услуги, 6,08% причастны к здравоохранению. В их распоряжении паспортные и другие данные граждан.

67,7% компаний пересматривают процессы обработки информации только после обращения людей, которые обнаружили, что их данные использовали без согласия или разместили в открытом доступе.

59,1% компаний усиливают защиту из-за новых требований законодательства.

Ошибка № 3: не изучить информацию о подрядчике.

Многие организации не запрашивают документы о соблюдении подрядчиком стандартов в области защиты информации, не оценивают соответствие его требованиям законов и эффективность систем защиты. 

В зрелых структурах со штатом от 10 000 сотрудников формально предусмотрены подобные процедуры, но при опросе среди наших респондентов таких компаний оказалось лишь 3,6%.

71% предприятий не думают об управлении рисками нарушения законодательства.

47% компаний называют нехватку денег, ресурсов и кадров главным препятствием на пути к безопасности и соблюдению законов.

У 41% респондентов нет выделенного бюджета для защиты данных.

Ошибка № 4: перепутать договор с подорожником.

Для безопасности данных шаблонного договора с подрядчиком недостаточно. В документ нужно включить условия о подтверждении такой безопасности, а также о соблюдении стандартов при подключении к системам и работе с информацией. Иначе эти обязанности будут вне зоны ответственности подрядчика.

Предотвращаем утечку данных

1. Проверьте подрядчика.

Просмотрите его сайт и запросите документы, в том числе подтверждающие соблюдение подрядчиком законов и стандартов в области защиты информации, эффективность его систем безопасности.

2. Составьте грамотный договор.

Обозначьте зону ответственности подрядчика при подключении к инфраструктуре и работе с данными.

Пропишите, что подрядчик обязан уведомлять об инцидентах, направлять данные по защищенным каналам связи исключительно определенным лицам и подключаться к системе по выделенной учетной записи с ограниченными правами. Укажите ответственность за нарушение этих обязанностей и срок отзыва доступа к данным.

Оформите поручение на обработку персональных данных, если даете к ним доступ (ч. 3 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ).

3. Контролируйте учетные записи.

Следите за активностью в системе и выполнением задач подрядчиком.

Ограничьте права подрядчика соразмерно его обязанностям. Если он отвечает за техническую поддержку одной базы, то у него не должно быть доступа к другим.

Не подпускайте подрядчика к резервным копиям.

По окончании работ отзовите права подрядчика, заблокируйте его учетные записи и поменяйте пароли.

Регулярно проверяйте, не осталось ли неактивных учетных записей с правами доступа. 

И наконец, не стоит надеяться, что подрядчик будет безусловно заботиться о сохранности вашей системы. Возьмите безопасность в свои руки.