Более половины подрядчиков крупного бизнеса не защищены от кибератак. Исследование от CICADA8

01 сентября 2025, 20:24

© freepik.com / DC Studio

55% IT-подрядчиков в России имеют критические уязвимости. Эксперты CICADA8 раскрыли данные об открытых портах, неисправленных дырах в безопасности и утечках учетных данных.

55% российских IT-подрядчиков и контрагентов крупного бизнеса имеют критически низкий уровень защиты от кибератак, что ставит под угрозу информационную безопасность всей цепочки поставок. Таковы результаты масштабного исследования компании в сфере информбезопасности CICADA8.

Специалисты CICADA8 проанализировали проблемы 60 тысяч компаний. Основными стали открытые порты, неисправленные уязвимости и данные учетных записей в даркнете, а главной причиной — отсутствие единых требований и ресурсов у мелких игроков.

Порты, «дыры» и утечки паролей

Эксперты CICADA8 выявили три ключевые угрозы. Самой распространенной оказалась некорректная настройка сетевой инфраструктуры: у 55% обследованных компаний не защищен как минимум один порт для доступа в систему из интернета. 

У 32% подрядчиков в системах были обнаружены «старые» критические уязвимости, для устранения которых давно выпущены обновления, но компаниями они проигнорированы. Еще у 27% данные корпоративных учетных записей (логины и пароли) были найдены в открытых базах утечек, опубликованных на теневых форумах даркнета.

Phishman: отсутствие требований или человеческий фактор?

В России нет единых обязательных требований по кибербезопасности для контрагентов. По мнению Алексея Горелкина, генерального директора Phishman, их введение не является решением проблемы.

Вопрос в том, как крупный заказчик будет с бороться с атакой на цепочку поставщиков. Он может ввести определенные требования безопасности, а также взять бремя обеспечения безопасности на себя, ввести киберкультуру,

— считает Алексей Горелкин.

Эксперт указывает, что большинство атак происходят через социальную инженерию и элементарное невыполнение правил кибергигиены.

RTM Group: законность исследований и сложности малого бизнеса

Управляющий RTM Group Евгений Царев, обращает внимание на то, что подобные масштабные исследования без согласия компаний могут находиться на грани законности.

Если компания небольшая... у них внутренняя информационная безопасность все равно будет на невысоком уровне. Речь здесь именно о размере организации и о ее сложностях,

- отмечает Царев.

По его словам, риск возникает при интеграции систем с защищенной инфраструктурой крупного заказчика.

Исследование показывает, что уязвимость IT-подрядчиков — это системный риск для российского бизнеса. Решение проблемы специалисты видят не столько в создании новых стандартов, сколько в принятии ответственности крупными компаниями-заказчиками. Эксперт подчеркивает, что помощь в выстраивании киберкультуры, аудит и точечная поддержка подрядчиков могут быть эффективнее, чем регулирование.

Ранее RUБЕЖ сообщал, что 66 млн записей персональных данных утекло из учреждений здравоохранения России с 2023 года.