Третьесторонние риски — это угрозы, которые приходят не изнутри компании, а через подрядчиков, SaaS-сервисы, интеграторов, хостинг-провайдеров, поставщиков ПО и других внешних партнёров. Для бизнеса это одна из самых недооценённых зон кибербезопасности: даже при сильной внутренней защите слабое звено у вендора может привести к утечке, простою или компрометации данных.
Почему это критично:
- у поставщика может быть доступ к вашим данным, инфраструктуре или учётным записям
- взлом подрядчика часто становится входной точкой для атаки на клиента
- зависимость от одного сервиса создаёт операционный риск: сбой у партнёра = сбой у вас
- нарушения у вендора могут повлечь штрафы, репутационные потери и проблемы с compliance ⚠️
Самые частые третьесторонние риски:
- слабая защита данных у подрядчика
- отсутствие MFA, сегментации сети и журналирования
- небезопасные API и интеграции
- устаревшее ПО и неуправляемые уязвимости
- избыточные доступы сотрудников поставщика
- отсутствие плана реагирования на инциденты
- непрозрачная цепочка субподрядчиков
Что проверять перед началом работы с вендором:
- какие данные он получает и где хранит
- есть ли сертификации и аудиты: ISO 27001, SOC 2 и аналоги
- как реализованы шифрование, резервное копирование, контроль доступа
- кто и как управляет привилегированными учётными записями
- как быстро закрываются уязвимости и обновляется ПО
- есть ли SLA по инцидентам и уведомлениям о взломе
- использует ли поставщик субпроцессоров и на каких условиях
Практические меры снижения риска:
- внедрите vendor risk management — регулярную оценку поставщиков по уровню доступа и критичности
- делите вендоров на категории: низкий, средний, высокий риск
- давайте минимум необходимых доступов по принципу least privilege
- используйте отдельные учётные записи, VPN, MFA и ограничение по IP
- фиксируйте требования безопасности в договоре: сроки уведомления, ответственность, право на аудит
- регулярно пересматривайте доступы и интеграции
- готовьте план на случай отказа поставщика: бэкапы, резервный вендор, сценарий миграции 🛡️
Ошибка, которую допускают чаще всего: компания проверяет вендора один раз на этапе закупки и больше к этому не возвращается. Но риски меняются постоянно — выходят новые уязвимости, меняется состав сервисов, появляются субподрядчики, расширяются доступы.
Хорошая практика:
- проводить ревизию критичных поставщиков хотя бы раз в год
- отслеживать утечки, инциденты и изменения в их инфраструктуре
- тестировать, как отключение вендора повлияет на бизнес
- вести реестр всех внешних сервисов и интеграций 📋
Итог: безопасность поставщиков — это не формальность, а часть общей киберустойчивости компании. Чем глубже внешние интеграции, тем важнее контролировать не только свою инфраструктуру, но и чужую.
👀 Ниже стоит посмотреть подборку каналов про IT — там ещё больше полезного про безопасность, инфраструктуру и управление рисками.