Электронные государственные закупки — это удобно и быстро. Но насколько безопасно? Статистика хакерских атак и утечек данных заставляет задуматься: достаточно ли защищены площадки, которые помогают госучреждениям и крупнейшим коммерческим компаниям организовать закупочный процесс?
Руководитель продуктов «Закупки.Стратег223» и «Закупки.Бизнес223» в ЭТП ГПБ Владислав Вознюк рассказал, какие угрозы существуют, на что обращать внимание при выборе электронной торговой площадки и какие меры безопасности важно соблюдать самим пользователям.
Как часто происходят утечки данных и кто в зоне риска?
По данным ЭАЦ InfoWatch, Россия занимает второе место в мире по количеству утечек информации из государственных организаций и коммерческих компаний. Всего в 2024 году в мире было зарегистрировано 9 175 инцидентов — на Россию пришлось 8,5% из них.
Сектор электронных государственных закупок, несмотря на меры по защите данных, находится в топе целей злоумышленников. В январе, например, атаке подверглась одна из крупнейших федеральных ЭТП — хакеры пытались уничтожить инфраструктуру проведения торгов и все данные. Работы по восстановлению заняли несколько дней.
В сфере электронных закупок можно выделить несколько ключевых уязвимостей — сталкиваясь с одной из них, хакеры проводят успешную атаку.
Человеческий фактор
Ошибки пользователей — причина порядка 70% успешных атак. Слабые пароли и их хранение в открытом доступе, переход по фишинговым ссылкам, передача данных через незащищенные каналы — все это ставит под угрозу безопасность данных.
Даже в сфере закупок, где безопасности данных уделяется большое внимание, такие ошибки не редкость. Документами, например, часто обмениваются в публичных мессенджерах или через личные почты. Заказчики общаются с большим количеством контрагентов — чтобы облегчить себе работу, сотрудники могут переписываться по незащищенным каналам.
Отдельные риски создает ускоренная цифровизация. Участники закупок взаимодействуют с большим количеством систем и сервисов, и среди информационных продуктов могут попадаться совсем не безопасные.
Пример — различные тестовые среды, которые, как правило, защищены хуже «рабочих» решений из аттестованного контура. Распространенная ошибка — использовать в тестовой среде какие-либо реальные данные.
Технические уязвимости
В ряде случаев риски создают ошибки на уровне ИТ-инфраструктуры. Сюда относится устаревшее ПО, которое делает систему уязвимой к различным инъекциям, например, проникновению через код.
Распространенной причиной утечек также становятся ошибки в интеграциях, например, самописные API с недостаточной защитой. Или отсутствие шифрования при передаче данных.
Целевые атаки
Отдельная группа хакерских атак — целевые, заранее спланированные действия. Злоумышленники могут планировать их с учетом человеческого фактора и технических уязвимостей площадки.
У целевых атак есть отличительная черта — они ориентированы на саботаж процессов и срыв или компрометацию закупок. Например, это могут быть DDoS-атаки, которые максимально перегружают систему. Очень важно, чтобы ЭТП могла выдерживать высокие нагрузки и быстро находить и блокировать источник угрозы.
Законы и защита данных: работают ли?
В России безопасность электронных госзакупок обеспечивают:
- 44-ФЗ и 223-ФЗ — законы, в которых описана процедура закупок.
- 152-ФЗ — закон о защите персональных данных.
- Требования ФСТЭК и ФСБ — например, ГОСТ-шифрование для специализированных ЭТП.
С одной стороны, законы защищают закупки — все операторы ЭТП обязаны получать электронные сертификаты безопасности, использовать шифрование, своевременно сообщать об утечках.
Но есть и определенные трудности. Обязательные сертификация и аттестация отстают от уровня подготовки злоумышленников. Например, не учитывают особенности современных инструментов взлома, таких как ИИ.
Кроме того, не все площадки оперативно обновляют ПО. Отсутствие в законе подобных предписаний приводит к тому, что системы становятся уязвимыми к атакам.
Из чего складывается безопасность платформы?
При выборе ЭТП безопасность конфиденциальных данных должна быть ключевым приоритетом. Рассмотрим, на что стоит обратить внимание.
1. Политики и соответствие требованиям (Compliance)
Нужно запросить и внимательно изучить документацию по ИБ: политики конфиденциальности, обработки персональных данных, информационной безопасности. Кроме того, стоит убедиться, что площадка явно декларирует меры защиты именно коммерческой информации, а не только персональных данных.
После этого важно проверить наличие у площадки и ее инфраструктуры сертификатов соответствия международным и отраслевым стандартам ИБ. Соответствие требованиям 152-ФЗ (для РФ) и GDPR (для работы с ЕС) — обязательный минимум, а отчеты об аудите (особенно независимом) — дополнительный сильный аргумент.
2. Технические меры защиты данных
Применение шифрования данных при передаче и хранении критически важно для защиты чувствительной информации, включая тендерные заявки, спецификации, контракты и финансовые реквизиты. Необходим контроль над используемыми алгоритмами шифрования (де-факто стандарт — AES-256) и механизмами управления ключами (предпочтительно с использованием HSM-устройств).
Платформа должна обеспечивать реализацию принципа минимальных привилегий с применением RBAC (Role-Based Access Control) или ABAC (Attribute-Based Access Control) для внутренних пользователей, а также предоставлять гибкие средства настройки прав доступа для внешних пользователей. Для всех операций с повышенными привилегиями (подача заявок, подписание контрактов, изменение реквизитов) обязательна поддержка многофакторной аутентификации. Наиболее предпочтительны методы с использованием TOTP; решения на базе SMS или push-уведомлений считаются менее надежными.
Также важно наличие DLP-систем (Data Loss Prevention), позволяющих отслеживать и предотвращать несанкционированную передачу конфиденциальных данных, включая выгрузку тендерной документации или списков участников.
3. Аудит
Площадка должна обеспечивать детальное логирование всех значимых событий (входы, просмотры документов, изменения данных, действия с контрактами) с привязкой к пользователю. Доступ к этим журналам для компании в части действий сотрудников и операций с данными — важный элемент контроля и расследования инцидентов. Также необходимо узнать о сроках хранения логов.
Помимо этого, стоит изучить политику раскрытия информации об инцидентах ИБ. Насколько оперативно и полно площадка информирует клиентов о произошедших утечках или атаках, затрагивающих их данные? Наличие четкого плана реагирования на инциденты и практики его тестирования — признак зрелости.
Кроме того, участие площадки в программах Bug Bounty (вознаграждение за найденные уязвимости) говорит о проактивном подходе к поиску и устранению слабостей в безопасности.
4. Управление цифровой идентификацией и подписью
Квалифицированная электронная подпись (КЭП/УКЭП) обеспечивает юридическую значимость действий на площадке и подтверждает неотказуемость совершенных операций. Важна корректная интеграция с инфраструктурой КЭП, включая безопасное хранение ключей подписи — предпочтительно на пользовательских токенах или смарт-картах, а не на серверах площадки.
Также платформа должна предусматривать механизмы для оперативной блокировки и удаления учетных записей сотрудников, утративших доступ, а также предлагать удобные средства администрирования прав доступа внутри организаций.
5. Интеграции и API Security
При интеграции электронной торговой площадки с внутренними системами (ERP, EDI) требуется наличие полной технической документации по API. Особое внимание должно уделяться использованию современных протоколов аутентификации (OAuth 2.0, OpenID Connect), обязательному шифрованию трафика (не ниже TLS 1.2), встроенным механизмам управления доступом (scopes, permissions), ограничению частоты запросов (rate limiting) и регулярному аудиту безопасности интерфейсов.
Дополнительно важна возможность настройки интеграции с ограничением доступа по списку доверенных IP-адресов или сетевых диапазонов организации.
6. Обеспечение доступности
Обеспечение высокой доступности и устойчивости электронной торговой площадки напрямую зависит от надежности инфраструктуры и мер защиты от внешних и внутренних угроз. Среди ключевых аспектов:
- Расположение серверов и дата-центры. Использование сертифицированных ЦОДов (не ниже Tier III) с многоуровневой физической защитой: контролем доступа, видеонаблюдением, охраной, системами пожаротушения и защиты от затоплений.
- Резервирование и аварийное восстановление. Наличие географически распределенных резервных площадок и актуального Disaster Recovery Plan (DRP), обеспечивающего сохранность данных и восстановление работы при сбоях.
- Процедуры DRP и SLA. Четко прописанные механизмы переключения на резервные мощности и гарантии доступности, зафиксированные в SLA.
- Сервисы фильтрации трафика. Привлечение специализированных облачных провайдеров для предварительной фильтрации трафика и защиты от DDoS-атак.
- WAF и антибот-защита. Наличие Web Application Firewall и механизмов, блокирующих сложные атаки на уровне приложений (включая HTTP/HTTPS Flood, Slowloris и др.).
- Анализ поведения и ограничение запросов. Системы поведенческого анализа и автоматическое ограничение активности с подозрительных IP-адресов и пользовательских агентов (rate limiting).
Зависит ли безопасность от пользователей?
Безопасность закупок — это общая ответственность площадки и ее пользователей. Рассмотрим несколько аспектов, за которые отвечают сами заказчики и поставщики:
1. Строгое управление доступом и аутентификация
Контроль над правами пользователей и надежная аутентификация помогают минимизировать риски несанкционированного доступа к ЭТП. Стоит внедрить:
- Принцип минимальных привилегий. Доступ должен предоставляться строго в пределах должностных обязанностей: только те функции ЭТП (каталоги, заявки, торги, контракты, реквизиты), которые действительно необходимы конкретному сотруднику.
- Многофакторную аутентификацию (MFA). Обязательно использование MFA для всех сотрудников, особенно при совершении критичных операций. Предпочтение нужно отдавать TOTP-приложениям (например, Яндекс.Ключ) или аппаратным ключам. SMS следует избегать при наличии более безопасных альтернатив.
- Управление жизненным циклом учетных записей. Сюда входит немедленная деактивация учетных записей уволенных сотрудников, а также регулярный аудит активных учеток и их прав доступа.
2. Защита рабочих станций и сетей
Доступ к ЭТП должен осуществляться только с доверенных устройств и через защищенную корпоративную инфраструктуру. Важно учитывать:
- Регулярное обновление ПО. Обновления операционных систем, браузеров, почтовых клиентов и офисных программ должны быть включены по умолчанию на всех устройствах, с которых осуществляется доступ к ЭТП.
- Endpoint Protection. Применение решений класса EDR/XDR для выявления и блокировки угроз на рабочих станциях.
- Безопасность сети. Использование NGFW, IDS/IPS и сетевой сегментации, особенно в подразделениях, задействованных в закупочной деятельности.
- Ограничение BYOD. Предпочтительно предоставлять доступ к ЭТП только с управляемых корпоративных устройств с установленными средствами защиты.
3. Повышение осведомленности и борьба с фишингом
Человеческий фактор остается одним из ключевых векторах атак, поэтому информационная безопасность должна включать системную работу с персоналом:
- Регулярное обучение. Обязательные тренинги по ИБ для сотрудников, работающих с ЭТП (закупщиков, юристов, бухгалтеров), с акцентом на распознавание целевого фишинга (spear phishing), атак BEC (Business Email Compromise), проверку подлинности писем и вложений.
- Тестовые фишинговые кампании. Регулярное моделирование атак для оценки уязвимостей и закрепления навыков.
- Правила коммуникации. Внутренние инструкции: не переходить по неожиданным ссылкам «от площадки», не открывать подозрительные вложения, перепроверять реквизиты для платежей только по официальным каналам.
4. Безопасная работа с электронной подписью (КЭП/УКЭП)
Ключи квалифицированной подписи являются критически важным элементом безопасности, и их использование должно быть строго регламентировано. Нужно реализовать:
- Физическую защиту носителей. Ключи ЭП — только на токенах или смарт-картах. Запрещено передавать носитель и PIN-код другим лицам.
- Защиту ПК для подписи. Устройство для работы с ЭП должно быть защищено: антивирус, EDR, минимум стороннего ПО.
5. Использование защищенных каналов и процедур
Кроме того, в рамках закупочной деятельности все коммуникации и обмен данными должны проходить исключительно через защищенную инфраструктуру ЭТП:
- Взаимодействие (обсуждения, уточнения, передача документов, расчеты) — только через официальные инструменты площадки.
- Перед вводом данных и работой с контрактами необходимо убедиться в наличии защищенного соединения (HTTPS, значок замка в браузере).
Как проводить закупки безопасно?
Обеспечение информационной безопасности на ЭТП — это непрерывная совместная работа площадки и компаний-участников.
Площадка должна инвестировать в передовые технологии (защита от DDoS, сквозное шифрование, безопасные API, IDS/IPS, WAF), соответствие строгим стандартам.
В свою очередь, компании-участники обязаны внедрять жесткие меры внутреннего контроля: управление доступом с MFA, защиту конечных точек, обучение сотрудников и безопасное использование ЭП.
Надежность ИБ-инфраструктуры ЭТП и осознанное соблюдение правил безопасности ее пользователями напрямую влияют на эффективность и цифровых бизнес-процессов в целом. Комплексный подход позволяет минимизировать риски утечек критически важной коммерческой информации, срывов сделок из-за кибератак — и обеспечивает устойчивое доверие.