Когда доверие оборачивается уязвимостью: как ритейлу защититься от атак на цепочку поставок

О том, как защитить бизнес, рассказывает Константин Родин, заместитель директора по развитию бизнеса компании «АйТи Бастион».

Где рождаются угрозы

Современная инфраструктура ритейла — это сложный конструктор из множества элементов: CRM, ERP, системы лояльности, кассовое ПО, облачные сервисы, API-платформы, маркетплейсы и подрядчики, обеспечивающие ИТ-поддержку. Достаточно одного скомпрометированного компонента, чтобы под угрозой оказалась вся сеть.

Согласно исследованию консалтинговой компании Б1, в первом квартале 2025 года число атак, осуществленных через поставщиков и подрядчиков, выросло на 80% по сравнению с аналогичным периодом 2024 года, а на долю сторонних партнеров пришлось около 26% всех успешных кибератак на российские компании.

Особенно уязвимым оказался ритейл: по данным отчета «Кибериспытания», именно торговые предприятия продемонстрировали наибольшую киберуязвимость — в 83% случаев попытки хакеров завершались успехом. Эту тенденцию подтверждают и аналитики ГК «Солар», отмечая, что атаки на цепочку поставок программного обеспечения, ранее наиболее характерные для финансового сектора, стремительно смещаются в сторону розничной торговли и продолжают расти в геометрической прогрессии из года в год.

О чем говорят эти цифры? Они говорят о следующем. «Сегодня уже недостаточно защищать только периметр. Да и где он вообще у ритейлера, который работает с десятками подрядчиков и сотнями точек продаж? Угроза может прийти абсолютно через любого партнера, обновление кассового ПО или даже через интеграцию с внешней CRM. Поэтому доверие нужно строить не к брендам, а к самим процессам и к людям, вовлеченным в них. Это очевидная данность на сегодняшний день. Именно по этой причине концепции «нулевого доверия», «минимальных привилегий» и «доступа по требованию» приобретают такую популярность. Бизнес одного тесно связан бизнесом другого, и проверка «достаточности» обеспечения безопасности партнеров становится как никогда важна», — отмечает Константин Родин.

Когда поставщик становится источником атаки

Один из тревожных примеров — недавняя кибератака на «Атол», производителя оборудования и софта для автоматизации торговли, которыми пользуются тысячи торговых точек по всей России. Тогда злоумышленники «положили» всю инфраструктуру компании: ее сайт и смежные ресурсы стали недоступны, а в сеть утекли внутренние данные клиентов и партнеров — около 9 Гб информации, включая ФИО, электронные адреса и телефоны (база данных с 157 тыс. строками чувствительной информации). 

Этот случай показал, насколько чувствителен ритейл к компрометации даже одного элемента в цепочке поставок: зависимость от внешних подрядчиков и их уровня безопасности напрямую влияет на устойчивость бизнеса. Даже крупные и технически развитые компании не застрахованы от подобных угроз: атаки все чаще происходят именно на и через цепочку поставок и административные сегменты сети. 

И хотя в российском сегменте почти нет публичных историй о взломах через подрядчиков и поставщиков услуг, уровень доступа, который могут получить злоумышленники, остается крайне высоким. Поэтому вопрос «а если хакеры получат привилегированный доступ к инфраструктуре» все чаще звучит как «когда они его получат». В этих условиях контроль доступа с высокими привилегиями перестает быть формальностью, продиктованной требованиями регуляторов или практикой крупных корпораций. Он становится ключевым элементом защиты и фундаментом киберустойчивости торговых сетей.


@Freepik (лицензия INV-C-2024-8250540)

Цель номер один

Для хакеров компрометация одной учетной записи администратора — находка. Получив такие права, злоумышленник получает не просто доступ к данным, а возможность внедриться прямо в «ядро доверительных отношений»: в обновления ПО, сетевую и кассовую инфраструктуру, в серверы обработки данных, логистические или облачные сервисы. В ритейле подобные риски особенно велики: здесь множество подрядчиков, интеграций и постоянно обновляющийся персонал. Администраторы, специалисты по поддержке, внешние сервисные команды — все они так или иначе имеют доступ к критическим сегментам. 

При этом во многих компаниях по-прежнему сохраняется опасная практика «широких прав» и «вечных» учетных записей, которые не пересматриваются годами. Подрядчикам открывают доступ «на всякий случай», пароли передаются через мессенджеры, а журналы действий не покрывают современный ландшафт угроз. Все это создает идеальные условия для атак через внутренние звенья.

Эксперт Родин поясняет: «Преступникам сегодня необязательно взламывать системы в лоб — это шумно, дорого и рискованно. Достаточно дождаться момента, когда кто-то из сотрудников или подрядчиков по неосторожности сам им «откроет дверь». Повторяющиеся или слабые пароли, работа без многофакторной аутентификации, привычные рутинные действия «на автомате», высокая нагрузка, неосторожность или невнимательность к фишинговым рассылкам. Это превращает даже опытных администраторов в идеальную цель. Именно поэтому контроль привилегированного доступа — это вопрос выживания инфраструктуры. Критически важно предотвратить катастрофу, прежде чем она случится, и заранее встраивать в привычные процессы удобные средства контроля доступа».

Как видеть и контролировать все

Даже если злоумышленник все-таки получил доступ внутрь корпоративной инфраструктуры, грамотно выстроенный мониторинг позволяет выявить подозрительную активность до того, как она перерастет в серьезный инцидент. Один из ключевых инструментов, обеспечивающих такую защиту, — запись и аудит всех сессий с повышенными привилегиями. 

«Это не просто сбор логов, а полная запись сессий, и, самое главное, глубокая поведенческая аналитика работы пользователя: кто и какие действия выполнял, какие изменения вносились, какие нехарактерные операции выполнялись и в какое время. Также это и инструмент для расследования инцидентов и профилактики ошибок, в том числе и для самих подрядчиков, чтобы, например, доказать свою непричастность ко взлому или инциденту в ИТ-инфраструктуре. В целом, такой подход не про контроль, а про прозрачность, дисциплину и доверие, защищающее и бизнес, и специалистов», — отмечает Константин Родин.

Мониторинг — важнейший элемент архитектуры доверия, особенно в ритейле, где подрядчики, технические специалисты и администраторы нередко работают удаленно (скорость при распределенных сетях просто необходима), из разных городов и даже из разных компаний. В таких условиях прозрачность действий становится вопросом не только безопасности, но и деловой репутации: она помогает предотвратить ошибки, разрешать спорные ситуации и укреплять доверие между заказчиком и исполнителем. Более того, доступ к реальной истории действий позволяет анализировать процессы, выявлять уязвимости и повышать общую киберустойчивость бизнеса.

Доверяй, но проверяй

Современный ритейл невозможно защитить без внедрения принципа Zero Trust. Это концепция, в основе которой лежит простой, но жесткий подход: никому нельзя доверять по умолчанию, даже если это штатный сотрудник, давний подрядчик или системный администратор с безупречной репутацией. В условиях, когда торговые сети работают с множеством внешних интеграций, поставщиков ИТ-сервисов, облачных платформ и логистических операторов, любая точка доступа может стать уязвимостью. Именно поэтому философия Zero Trust — это не про недоверие, а про разумный контроль, основанный на доказательствах, прозрачности и строгих механизмах подтверждения полномочий.

Эту модель на практике реализуют ПАМ-системы (en. PAM — Privileged Access Management) — решения, которые автоматически управляют паролями и ключами, ограничивают доступ по ролям, фиксируют все сессии и в режиме реального времени выявляют аномалии в действиях пользователей. Для ритейла, где с привилегированным доступом работают десятки подрядчиков и технических специалистов, ПАМ становится не просто инструментом безопасности, а центральным элементом цифрового доверия, без которого невозможна устойчивая работа распределенной инфраструктуры.

Эксперт Родин комментирует: «Я всегда говорил и говорю: ПАМ — это про доверие, подтвержденное действиями, фактами и логами. Когда каждый вход зафиксирован, каждая команда записана, а каждый шаг можно воспроизвести, исчезает фактор «слепой веры» в администратора или подрядчика. Бизнес перестает надеяться, он начинает знать, что происходит в его инфраструктуре. И это не вопрос излишнего контроля, а вопрос зрелости и выживаемости компании. Ведь в современных условиях защищен тот, кто видит, понимает и управляет всем, что происходит внутри его цифровых систем».

@Freepik (лицензия INV-C-2024-8250540)

Защита, доступная каждому бизнесу

Малый и средний бизнес сегодня особенно уязвим перед атаками на цепочку поставок. Такие компании редко имеют собственный ИБ-отдел или выделенных специалистов по кибербезопасности. Чаще всего администратор совмещает сразу несколько ролей: он и DevOps, и ИТ-поддержка, и настройщик кассовых систем, и ответственный за обновления софта. При этом инфраструктура становится все сложнее: онлайн-продажи, CRM, интеграции с поставщиками, программы лояльности, облачные сервисы. Каждая новая интеграция увеличивает число точек входа для потенциальных злоумышленников. 

Когда подрядчик или сотрудник с широкими правами подключается к инфраструктуре без надлежащего контроля, риск возрастает в разы. В случае ошибки, компрометации или банального фишинга компания может потерять не только данные, но и возможность работать. А для небольших торговых сетей даже один день простоя может означать серьезные убытки. 

Для такого сегмента бизнеса разрабатываются специальные решения по обеспечению информационной безопасности. Например, СКДПУ НТ Старт — легкая версия корпоративной ПАМ-системы, оптимизированная под небольшие инфраструктуры. Благодаря своему функционалу она помогает взять под контроль пароли, учетные записи и действия подрядчиков, не требуя сложного внедрения и больших инвестиций.

СКДПУ НТ Старт позволяет централизованно управлять всеми доступами, записывать и анализировать администраторские сессии, ограничивать права пользователей по принципу «минимально необходимого». Система автоматически управляет паролями доступа специалистов, создает контролируемые каналы подключений и дает компании реальную прозрачность процессов. Такое решение позволяет даже небольшим магазинам, интернет-ретейлерам и локальным сетям внедрить принципы Zero Trust без больших затрат, повысить дисциплину подрядчиков и минимизировать риски компрометации инфраструктуры. В итоге компания получает уровень защиты корпоративного класса, оставаясь в пределах разумного бюджета.

---

Читайте также: Налоговый мониторинг и СВК: зачем бизнесу ПАМ (en. PAM) и как его внедрить правильно

---

Очень сложно или почти невозможно

Атаки на цепочку поставок, по сути, это тест на зрелость всей корпоративной экосистемы: насколько прозрачны внутренние процессы, выстроены отношения с подрядчиками, контролируются точки доступа и выполняются требования безопасности. В ритейле, где инфраструктура многослойна, а число интеграций с внешними сервисами постоянно растет, любой сбой в звене поставки может привести к остановке бизнес-процессов, утечке данных и потерям репутации. Именно поэтому контроль над привилегированным доступом становится не технической деталью, а фундаментом защиты всей компании. Современные ПАМ-системы позволяют устранить человеческий фактор, ограничить влияние ошибок подрядчиков, сделать работу администраторов прозрачной и в целом — превратить безопасность из «реакции на инциденты» в предсказуемый и управляемый процесс.

«Сегодня это уже не вопрос моды или формального соответствия требованиям. Это вопрос выживания и устойчивости бизнеса. Без прозрачного управления привилегиями и доверия, подтвержденного фактами и логами, любая другая защита была и остается недостаточной», — подчеркивает Константин Родин.

Больше данных о компании «АйТи Бастион», а также о продуктах и рынке ИБ читайте в Телеграм канале.