С марта 2026 года российские компании обязаны контролировать уровень защищённости своих подрядчиков — этого требует приказ ФСТЭК №117. Регулятор пришёл к такому решению не случайно: ещё в конце 2025 года ФСТЭК официально назвал отсутствие контроля за подрядчиками одним из самых распространённых нарушений в сфере кибербезопасности. Cicada8 выпустила обновление платформы CyberRating, которое закрывает именно этот пробел.

Проблема, которую решает обновление, хорошо знакома службам безопасности крупных компаний. Технический мониторинг внешнего периметра подрядчика — стандартная практика, но он показывает лишь часть картины. За надёжно защищёнными доменами и IP-адресами может скрываться полное отсутствие внутренних политик: никаких регламентов управления доступом, паролей, планов восстановления после инцидентов. Проверить это раньше можно было только вручную — компании обменивались Excel-таблицами, специалисты неделями разбирали сотни ответов и десятки страниц нормативных документов. Масштабировать такой процесс на десятки или сотни подрядчиков было практически невозможно.

Обновлённая Cicada8 CyberRating объединяет обе вертикали оценки в едином интерфейсе. Первая — технический скоринг внешнего периметра с автоматизированным поиском сетевой инфраструктуры (доменов и адресов). Вторая — новый модуль «Опросы», который автоматизирует анкетирование контрагентов: платформа рассылает анкеты, отслеживает сроки ответов, собирает данные и выполняет первичную математическую интерпретацию результатов. Анкеты можно брать из готовой библиотеки, составленной по лучшим мировым практикам ИБ, или создавать с нуля через встроенный конструктор с ветвлением сценариев и настраиваемыми весами параметров.

Приказ ФСТЭК №117, вступивший в силу в марте 2026 года, сделал контроль за контрагентами обязательным требованием.

Ключевое дополнение — модуль интеллектуального анализа. ИИ, встроенный в платформу, обрабатывает ответы в свободной форме и загруженные документы: политики парольной защиты, положения о коммерческой тайне, планы аварийного восстановления. Система проводит семантический анализ, проверяет документы на соответствие требованиям заказчика, выявляет логические нестыковки и формирует карту рисков с рекомендациями. По словам руководителя продукта Никиты Котикова, платформа «показывает, как контрагент защищён технически, как выстроены его внутренние процессы и насколько зрелыми являются его политики и регламенты».

Контекст важен: по оценке аналитиков самой Cicada8, более трети инцидентов в 2025 году были связаны со взломом партнёров и подрядчиков, имевших доступ в инфраструктуру заказчиков. Атаки через цепочку поставок — устойчивый вектор угроз как в России, так и глобально: достаточно вспомнить инцидент с SolarWinds или взломы через MSP-провайдеров. Российский регулятор отреагировал нормативно, и теперь рынок инструментов для оценки рисков третьих сторон получает дополнительный импульс со стороны compliance-требований.