В эпоху цифровизации кибербезопасность стала приоритетом для бизнеса. Особенно это важно в коммерческих закупках — здесь на кону не только репутация, но и крупные финансовые риски. По оценкам специалистов, одна успешная кибератака может остановить производство на недели, привести к утрате клиентов и крупным убыткам.
Дмитрий Сытин, генеральный директор Cooper.pro и председатель Совета ТПП РФ по развитию системы закупок, рассказывает о главных угрозах для участников закупок и методах их снижения.
От мала до велика: уязвимость компаний в цифровую эпоху
При ежедневной обработке тысяч транзакций любая уязвимость может привести к катастрофическим последствиям – остановки процессов закупок способны сорвать важные контракты и лишить компанию значительной части прибыли. Не менее опасны и репутационные риски: утрата доверия поставщиков и покупателей может стать фатальной для бизнеса в сфере B2B. Кроме того, нарушение условий контрактов и требований регуляторов грозит серьезными юридическими последствиями – почти любая компания сейчас автоматически становится оператором персональных данных и подпадает под действие закона 152-ФЗ о персональных данных.
Киберпреступники зачастую целенаправленно выбирают малые предприятия, поскольку те часто не имеют специализированных служб информационной безопасности и экономят на защитных мерах. При этом даже небольшие компании нередко обладают доступом к чувствительной информации и интегрированы в экосистемы крупных игроков рынка.
В этом плане электронные торговые площадки и системы закупок представляют особый интерес для злоумышленников, которые могут пытаться манипулировать результатами торгов, красть конфиденциальную информацию о коммерческих предложениях и стратегических планах, проводить фишинговые атаки на менеджеров по закупкам и финансовым операциям, а также компрометировать учетные данные и системы электронных подписей. Последствия успешной атаки на компанию в сфере закупок могут быть разрушительными.
Ты недооцениваешь мощь темной стороны
Конечно, существуют и банальные причины, почему злоумышленники могут использовать IT-уязвимости, однако цепочки поставок и электронные торговые площадки формируют критически важную инфраструктуру современной экономики. Поэтому крайне важно понимать, как преступники могут использовать «лазейки»:
Вымогательство
Шифровальщики блокируют доступ к данным и требуют выкуп — результатом часто становится остановка операций, срыв поставок и значительные затраты на восстановление.
Кража данных
Персональные данные, реквизиты и тендерная документация продаются на черном рынке и используются для шантажа, фишинга и конкурентного преимущества.
Помимо привычных персональных данных и тендерной документации, в торгах особенно опасна кража электронной подписи (ЭП, ранее ЭЦП). Без нее невозможно подать заявку, пройти аккредитацию на площадке, подписать контракт или получить банковскую гарантию. Если ключ попадает в чужие руки, злоумышленник может действовать от имени компании: подать «левые» заявки, подписать документы или даже сорвать сделки.
Проблема в том, что кража ключа не всегда очевидна: токен могли украсть из сейфа, а могли просто незаметно скопировать закрытый ключ с компьютера. Еще тоньше история с машиночитаемой доверенностью (МЧД) — если ее перехватили, под угрозой оказываются все действия сотрудников от лица компании.
Результат прост: финансовые потери, срыв торгов и риск потерять репутацию на рынке.
Доступ к партнерам
Взлом малого подрядчика позволяет злоумышленникам проникнуть в системы крупных заказчиков через интеграции и общие сервисы, расширяя ущерб.
Мошенничество при закупках
Поддельные лоты, фальшивые страницы оплаты и компрометация аккаунтов приводят к прямым финансовым потерям и подрыву доверия к площадке.
Репутационные и регуляторные риски
Утечки и простои ведут к штрафам (включая 152‑ФЗ), аннулированию контрактов и длительному восстановлению репутации.
Поэтому меры защиты должны учитывать не только собственную инфраструктуру, но и доверительные связи с партнерами: контроль поставщиков, обязательные минимальные стандарты безопасности и оперативная готовность к инцидентам — это не роскошь, а необходимость.
Сначала маску на себя
Для минимизации рисков необходим системный подход к защите, но начинать стоит с себя. Предлагаю ознакомиться с набором практических мероприятий, которые помогут снизить ключевые киберриски при участии в торгах и работе с поставщиками. Эти шаги просты для внедрения и дают ощутимый эффект в минимизации угроз.
1. Инвентаризация активов и данных
Зафиксируйте сервисы, аккаунты и данные, необходимые для участия в торгах, и оцените возможные финансовые последствия их потери. Карта критичных ресурсов помогает принимать осознанные решения по приоритетам защиты.
2. Включение многофакторной аутентификации (multi-factor authentication, MFA)
Рассмотрите внедрение MFA для ключевых аккаунтов и корпоративной почты. Это относительно недорогая мера, которая повышает устойчивость к попыткам несанкционированного доступа.
3. Принцип наименьших привилегий
Ограничьте права доступа и уберите избыточные административные учетные записи. Снижение числа пользователей с расширенными правами уменьшает вероятность некорректных или злоумышленных изменений.
4. Надежные и изолированные резервные копии
Организуйте хранение резервных копий вне основной сети и регулярно проверяйте процедуры восстановления. Это важно для восстановления работы в случае потери данных.
5. Логирование и мониторинг аномалий
Настройте сбор логов и оповещения о подозрительных событиях: смене реквизитов, добавлении/изменении документов, необычных входах. Быстрая детекция облегчает реагирование.
6. План действий при инциденте
Определите ответственных, порядок уведомлений (площадка, банк, контрагенты), механизм блокировки платежей и этапы восстановления. Наличие отработанного плана упрощает координацию в кризисе.
7. Юридическая готовность
Проверьте соответствие требованиям регуляторов, условий договоров с площадками и подрядчиками, а также положений об ответственности. Юридическая подготовка помогает уменьшить последующие риски и затраты.
8. Обучение персонала
И, конечно, самое важное – проводите регулярные обучения по распознаванию фишинга и методам социальной инженерии. Повышение осведомленности сотрудников снижает риск инцидентов, связанных с человеческим фактором.
Даже при ограниченных ресурсах стоит ввести ключевые меры по защите информационных активов — это эффективная инвестиция в стабильность и репутацию.
Тем не менее, а когда же стоит привлекать специалистов по информационной безопасности? Если вы обрабатываете платежи, храните персональные данные или участвуете в крупных тендерах, то имеет смысл рассмотреть привлечение профессионалов — внешнего подрядчика или штатного специалиста. Это особенно актуально при интеграции с контрагентами, подверженными рискам в цепочке поставок.
Джедай использует Силу для знаний и защиты
Когда мы разобрались с шагами, которые можно предпринять, давайте поговорим о том, как это может выглядеть на практике. В сервисе для коммерческих закупок Cooper.pro ключевые технические меры защиты формируют многослойную стратегию.
Прежде всего есть защита от DDoS‑атак, которая организована с помощью облачных и локальных решений, способных фильтровать массовый трафик и поддерживать доступность сервисов. Параллельно обеспечено шифрование каналов передачи данных (TLS/mTLS, VPN) и надежное управление сертификатами и ключами. А регулярное обновление программного обеспечения и зависимостей, с тестированием патчей в пред‑продакшене и автоматизацией распространения, закрывает известные уязвимости, тогда как внедрение систем обнаружения и предотвращения вторжений позволяет быстро выявлять и блокировать подозрительную активность.
Только комплексный подход к защите, объединяющий передовые технические решения, строгие организационные меры и эффективные процедуры управления рисками, может гарантировать сохранность критически важных данных и бесперебойность закупочных процессов.