Уязвительное — рядом
Только треть критической инфраструктуры достигла минимального уровня киберзащиты
ФСТЭК России выявила свыше 1,2 тыс. нарушений по итогам проверки 700 значимых объектов критической информационной инфраструктуры (КИИ). При этом минимальный уровень киберзащиты достигнут лишь у 36% организаций. В числе ключевых причин — системное отстранение ИБ-специалистов от бизнес-процессов и отсутствие полного учета IT-активов.
Фото: Евгений Павленко, Коммерсантъ
Фото: Евгений Павленко, Коммерсантъ
ФСТЭК России на национальном форуме по кибербезопасности «Инфофорум 2026» 28 января представила доклад, согласно которому в рамках госконтроля более 700 значимых объектов критической информационной инфраструктуры (банки, промышленность и т. д.) было выявлено более 1,2 тыс. нарушений, а также направлено более 2 тыс. требований о выполнении законодательства и составлено 603 протокола об административных правонарушениях (111 дел по статье о нарушении установленного порядка защиты КИИ, 492 дела — по статье о непредставлении или несвоевременном представлении сведений во ФСТЭК). При этом «минимального уровня защиты от злоумышленников с минимальными возможностями», как выразились представители ФСТЭК, достигли только 36% организаций. За 2024 год ФСТЭК отчитывалась о выявленных более 800 нарушений в обеспечении безопасности, однако тогда было проведено около 800 проверок значимых объектов КИИ.
В своем докладе начальник управления ФСТЭК России Елена Торбенко представила восемь основных причин нарушений.
Во-первых, по ее словам, часто встречается ситуация, «когда ИБ-специалисты очень многих вещей не знают и до некоторой информации не допускаются», что часто связано с тем, что их не погружают в процессы создания, эксплуатации и совершенствования систем. Также она отметила, что функции по обеспечению безопасности значимых объектов КИИ возложены только на подразделения информационной безопасности, хотя к этому процессу должны быть причастны все участники создания и эксплуатации систем. В-третьих, почти во всех случаях проверок, по словам госпожи Торбенко, фиксировалось полное несоответствие сведений о включаемом в реестр объекте и его фактическом состоянием. Например, об изменениях архитектуры или технологий не предупреждают ИБ-специалиста, а он, в свою очередь, не обновляет необходимые меры защиты.
Статистика отражает системные проблемы многих организаций КИИ, отмечает главный инженер ИБ-направления компании «Уралэнерготел» Сергей Ратников. По его словам, часть предприятий КИИ исторически не вела полноценный учет активов, что привело к незнанию слабых мест в IT- и ИБ-ландшафтах. «Контроль за инвентаризацией активов — это не разовое мероприятие, а непрерывный процесс, в который вовлечены как внутренние подразделения, так и экспертные организации, включая лицензиатов ФСБ и ФСТЭК»,— отмечает руководитель департамента ИБ Альфа-банка Сергей Крамаренко.
Также среди проблем ФСТЭК указала отсутствие централизованного управления средствами защиты при их большом количестве и нехватке специалистов, что приводит к невозможности своевременного реагирования на инциденты. При этом практикуемый многими организациями периодический, а не постоянный мониторинг защищенности «оставляет окна для эксплуатации уязвимостей». Отдельной критической практикой является хранение резервных копий в одной среде с основными производственными системами, что ставит под угрозу возможность восстановления после атаки, отметили во ФСТЭК.
42 дня
составляет среднее время пребывания злоумышленников в IT-инфраструктуре компании, по данным Bi.Zone.
Любые устройства, программное обеспечение, сервисы и домены, про которые по любым причинам не знает служба кибербезопасности и к которым не применяются процессы, связанные с защитой этих активов, в ИБ-сообществе чаще всего называют теневыми активами. По данным специалистов Bi.Zone CPT, 78% «брешей в защите» находятся именно на этих ресурсах. Проверив инфраструктуру более 200 российских компаний, в Bi.Zone установили, что только 2% организаций знают обо всех своих IT-активах, включая корпоративные домены, IP-адреса, а также сервисы, которые там находятся. «Чем больше у компании теневых IT-ресурсов, тем выше вероятность, что атакующие уже получили доступ в инфраструктуру и затаились внутри, выбирая момент для монетизации, например, шифрования данных ради выкупа или продажи доступа в даркнете»,— добавляет руководитель направления EASM Bi.Zone Павел Загуменнов.