ФСТЭК России выявила свыше 1,2 тыс. нарушений по итогам проверок более 700 значимых объектов критической информационной инфраструктуры (КИИ). Основными причинами названы слабая вовлеченность ИБ-специалистов в бизнес-процессы и отсутствие полноценного учета IT-активов, сообщает «Коммерсантъ» со ссылкой на доклад ФСТЭК, представленный на форуме «Инфофорум 2026». «Минимального уровня защиты от злоумышленников с минимальными возможностями достигли только 36% организаций», — говорится в материале газеты со ссылкой на представителя ФСТЭК. Согласно данным ФСТЭК, в рамках госконтроля ведомство направило более 2 тыс. требований об устранении нарушений и составило 603 протокола об административных правонарушениях. Из них 111 дел касались нарушения установленного порядка защиты критической информационной инфраструктуры, еще 492 — непредставления или несвоевременного представления сведений во ФСТЭК. Для сравнения, за 2024 год при большем количестве проверок было выявлено около 800 нарушений. В докладе ФСТЭК были названы восемь ключевых причин проблем с киберзащитой. Среди них — ситуация, при которой ИБ-специалистов не допускают к информации о создании, эксплуатации и изменении систем. Кроме того, функции защиты КИИ зачастую возлагаются исключительно на подразделения информационной безопасности, тогда как в процесс должны быть вовлечены все участники жизненного цикла систем. Еще одной распространенной проблемой ФСТЭК называет несоответствие данных, включенных в реестр объектов КИИ, их фактическому состоянию. Изменения архитектуры или технологий нередко не доводятся до ИБ-служб, из-за чего меры защиты не обновляются своевременно. Главный инженер ИБ-направления компании «Уралэнерготел» Сергей Ратников отметил, что статистика отражает системные проблемы: многие организации КИИ исторически не вели полный учет активов, что привело к незнанию уязвимых мест в IT- и ИБ-ландшафтах. Руководитель департамента ИБ «Альфа-банка» Сергей Крамаренко подчеркнул, что контроль инвентаризации активов должен быть непрерывным процессом с участием как внутренних подразделений, так и внешних лицензированных экспертов. Среди других рисков ФСТЭК выделил также отсутствие централизованного управления средствами защиты, нехватку специалистов и практику периодического, а не постоянного мониторинга безопасности. Отдельной критической ошибкой называется хранение резервных копий в одной среде с рабочими системами, что усложняет восстановление после атак. По данным специалистов Bi.Zone, 78% уязвимостей приходится на так называемые «теневые IT-активы» — устройства, сервисы и домены, о которых служба безопасности не знает. Проверки более 200 российских компаний показали, что лишь 2% организаций имеют полное представление обо всех своих IT-активах. Как отметил руководитель направления EASM Bi.Zone Павел Загуменнов, чем больше таких ресурсов, тем выше вероятность, что злоумышленники уже находятся внутри инфраструктуры и ждут момента для атаки или монетизации доступа. Напомним, ранее Госдума утвердила в I чтении поправки в Уголовный кодекс относительно ответственности за неправомерное воздействие на критическую информационную инфраструктуру (КИИ).