08.04.2024 Экспертиза, БезопасностьИлья Борисов, директор департамента методологии ИБ VK
Взаимосвязанность цифровых сервисов в настоящее время стала не просто преимуществом, а эволюционной необходимостью. Это связано с ростом объема обрабатываемых данных, скоростью развития программных продуктов и формированием экосистем. Сложность возникающих цепочек и наличие в них поставщиков и сервисов с разным уровнем информационной безопасности, формирует широкий ландшафт угроз и делает атаки на цепочки поставок (вида supply chain) одними из самых опасных и распространенных. Это создает критичные риски для самых разных компаний и направлений бизнеса. В условиях острого дефицита ресурсов защиты управление безопасностью цепочек поставок требует замены типизированных шаблонных решений и выработки новых стратегических подходов. Типовой подход Когда речь заходит об оценке потенциального поставщика или сервиса, как правило, используется стандартный методический набор: · анкета для оценки уровня информационной безопасности поставщика; · запрос документов, подтверждающих уровень ИБ (в основном, это различные сертификаты и аттестаты); · использование инструментальных проверок, например: SCA (Software Composition Analysis, анализ компонентного состава приложений). При этом каждый из этих элементов оценки, как минимум, не безупречен: · Анкетирование использует стандартный набор вопросов, и он зачастую не учитывает особенности взаимодействия с конкретным поставщиком, а еще предполагает, что самооценка проводится честно и качественно. На практике же и заполнение, и проверка носят ...
читать далее.