«Ростелеком» усилил требования к информационной защищенности, предъявляемые к организациям-партнерам. Данная мера стала ответом на участившиеся случаи атак, направленных на нарушение цепочек поставок.
В официальном сообщении компании подчеркивается, что атаки на цепочки поставок становятся «одной из наиболее серьезных угроз в сфере кибербезопасности для крупных организаций, обладающих разветвленной структурой». В связи с этим, сотрудники компаний-подрядчиков, имеющие доступ к информационным системам «Ростелекома», должны изучить обновленные правила и неукоснительно им следовать.
«Ростелеком» оставляет за собой право контролировать выполнение установленных требований и аннулировать права доступа к информационным ресурсам в случае обнаружения нарушений. Также введено обязательное уведомление компании о любых значимых инцидентах в сфере информационной безопасности и принятых мерах по их устранению. Дочерние предприятия «Ростелекома» теперь рассматриваются как внешние подрядчики и также обязаны соблюдать новые требования.
Кроме того, повышен уровень защиты собственной цифровой инфраструктуры компании, используемой для удаленного доступа и взаимодействия с внешними организациями. Теперь доступ специалистов подрядчиков к системам «Ростелекома» осуществляется исключительно через специально настроенные jump-серверы и системы управления привилегированным доступом (PAM). Подключение к инфраструктуре возможно только с территории Российской Федерации.
Михаил Савельев, директор департамента методологии информационной безопасности «Ростелекома», отметил: «В условиях роста киберугроз, чтобы оставаться надежным партнером в цифровой сфере для государства, бизнеса и общества, мы должны обеспечивать максимальную безопасность своей цифровой инфраструктуры. Ужесточение требований к подрядчикам – необходимый шаг в этом направлении. Мы не только предъявляем требования по повышению защищенности нашей инфраструктуры, но и работаем над тем, чтобы наши партнеры и подрядчики соответствовали высоким стандартам безопасности, оказывая им консультационную поддержку в вопросах информационной безопасности».