По данным Федеральной службы по техническому и экспортному контролю (ФСТЭК) России, среди 170 компаний, отнесённых к критически значимым объектам информационной инфраструктуры, 47% имеют серьёзные проблемы с защитой от киберугроз. Ещё у 40% обнаружен слабый уровень кибербезопасности, а лишь 13% достигли базовых стандартов защиты.
Такую ситуацию описал Виталий Лютиков, занимающий пост заместителя руководителя ФСТЭК, выступая 12 февраля на мероприятии «ТБ Форум 2025».
Ведомство сообщило о выявлении 1,2 тыс. уязвимостей в сотне государственных информационных систем. Большинство проблем отнесено к высоким и критическим категориям угроз. Виталий Лютиков указал, что многие слабые места остаются известными специалистам уже долгие годы. Аналитики отмечают, что компании зачастую игнорируют устранение этих рисков, позволяя злоумышленникам проникать в сети и годами оставаться незамеченными, подготавливая атаки.
Специалисты обращают внимание на то, что полностью устранить все слабые места практически нереально. Они указывают на важность расстановки приоритетов — в первую очередь ликвидации тех угроз, которые активно используются преступниками либо с высокой вероятностью станут целью. Такой процесс требует технологических пауз, связанных с приостановкой работы систем, что создаёт сложности для организаций с круглосуточной деятельностью. При этом массовая установка обновлений одновременно не приносит желаемого результата.
В отношении государственных информационных платформ отмечается отсутствие системного подхода к управлению уязвимостями. По словам Виталия Лютикова, среди типичных пробелов в защите КИИ выделяются нехватка двухфакторной аутентификации и наличие критических уязвимостей в периметре IT-инфраструктуры.
В финансовой отрасли страны специалисты фиксируют прогресс в устранении проблем внешней защиты. В то же время Виталий Лютиков акцентирует внимание на том, что для банков остаётся серьёзной угрозой рост DDoS-атак. Несмотря на сохранение доступа к сервисам, снижение пропускной способности каналов связи делает платформы недоступными для клиентов. Эксперты добавляют, что исправление внутренних слабых мест, которые закрыты для внешнего доступа, не представляет собой приоритет, так как подобные меры требуют значительных затрат и не решают основной проблемы.
Алексей Хмельницкий, генеральный директор компании RooX, заявил CISOCLUB: «Устранение уязвимостей правильно рассматривать как процесс — будут появляться новые угрозы, будет требоваться реакция на них. Соответственно, это не разовая инвестиция, а постоянные затраты, связанные с долгосрочным развитием. Для получения соответствующего эффекта должно пройти время. Важно организовать процесс и методично по нему двигаться».
Дмитрий Частухин, технический директор Hexway, прокомментировал: «Эти данные подтверждают, что вопрос кибербезопасности требует не только оперативного реагирования, но и стратегического подхода. Факт, что почти половина критически важных объектов имеют серьёзные проблемы с защитой, свидетельствует о системных пробелах в управлении уязвимостями. Важно, чтобы организации не ограничивались лишь реактивной установкой обновлений, а выстраивали комплексную систему мониторинга и приоритизации рисков – именно так можно предотвратить эксплуатацию известных слабых мест злоумышленниками».
Александр Хонин, руководитель отдела консалтинга и аудита Angara Security: «Здесь необходимы уточнения. Формулировка, что только 13% российских организаций достигли базовых стандартов защиты, не совсем верная — вернее нужны детали. В первую очередь речь здесь идет только про субъектов КИИ, при этом выборка составила 170 организаций.
Соответственно мы говорим про процент от обозначенной выборки. Во-вторых, речь идет про новую методику ФСТЭК России в части оценки показателя состояния защиты информации и обеспечения безопасности объектов КИИ РФ, в соответствии с которой и производился подсчет. При этом стоит отметить особенность самой методики — чтобы достичь минимального базового уровня, должны выполняться все требования, которые оцениваются в рамках данной методики. Как результат, мы имеем малый процент таких организаций. Например, если взять требования про многофакторную аутентификацию привилегированных пользователей — она не является обязательной в базовых требованиях и как результат не всегда применяется на объектах, но при невыполнении данного пункта мы уже не попадаем в «нужный» уровень.
Поэтому здесь можно отметить следующее: повышение информационной безопасности в наших организациях конечно же требуется (особенно в сфере КИИ), но в то же время текущие подходы оценки уровня ИБ требует корректировок, чтобы давать более понятный результат».
Алексей Захаров, директор по технологическому консалтингу Axiom JDK: «По нашей информации зачастую заказчики используют устаревшие версии элементов инфраструктуры, которые накапливают уязвимости. Особенно это касается ПО с открытым исходным кодом и ПО западных компаний, которы перестали оказывать поддержку и поставлять обновления. В качестве примера можно привести стстемное ПО: ОС, среду разработки Java, сервера приложений. Про эти компоненты во многих случаях забывают заказчики и этим пользуются злоумышленники. Тем не менее, по итогам 2024 года видим позитивную тенденцию».
Алена Лукашева, заместитель руководителя департамента аудита и консалтинга iTPROTECT: «Надо учитывать контекст, касательно проверки объектов КИИ и их несоответствия требованиям. Проверка осуществляется регулятором согласно новой методике, которая разработана в мае 2024 года, при этом сама методика на данный момент не является обязательной для исполнения. В требованиях по методике обязательно наличие у организаций систем многофакторной аутентификации (2FA) и централизованного сбора событий безопасности (SIEM). Кроме того, среди оцениваемых требований по новой методике — использование в организациях решений для защиты от спама (AntiSPAM) и сканеров уязвимостей. При этом должно быть подтверждено отсутствие уязвимостей критического уровня на сетевом оборудовании, пользовательских устройствах и серверах. Ввиду того, что часть объектов КИИ на данный момент не реализовала требования, согласно методике, проверку регулятора они на данный момент не проходят.
Для соответствия базовому уровню защищенности организация должна выполнять все меры и требования, указанные в методике. Если хотя бы одно из требований не выполняется, организации присваивается низкий уровень защищенности. Вероятно, уровень защищенности повысится, когда проведение такой оценки станет обязательным.
Например, уже известно, что регулятор планирует выпустить новые требования по защите информации, которые заменят Приказ №17. Среди новых требований — условие, согласно которому результаты оценки должны предоставляться во ФСТЭК России каждые полгода с обязательным устранением выявленных недостатков. Такой полугодовой срок на устранение недочетов — это жесткое требование, которое потребует от организаций и ответственных за информационную безопасность значительных усилий и ресурсов».
Оригинал публикации на сайте CISOCLUB: "ФСТЭК: только 13% российских организаций достигли базовых стандартов защиты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.