Найти в Дзене
НЕЙРОЭРА | Безопасность в Эру ИИ | Абрамова
379 подписчиков

Почему защита критической инфраструктуры терпит неудачу: честный разговор с регулятором

5 мин
На Инфофоруме-2026 прозвучало то, о чём обычно говорят шёпотом: более трети компаний не дотягивают даже до минимального уровня защищённости. При этом список типовых нарушений из года в год не меняется. Елена Борисовна Торбенко, начальник управления техническим контролем ФСТЭК, назвала реальные причины провалов в защите значимых объектов КИИ. И знаете что? Проблема не в технологиях. Она в людях и процессах. Статистика Инфофорума-2026 безжалостна: • 1200+ типовых нарушений выявлено при госконтроле • Только 34% компаний достигают минимального уровня защищённости (по методике ФСТЭК) • Количество административных дел за нарушения растёт год к году • Половина мер от ФСТЭК связана с незакрытыми уязвимостями И это при том, что методика оценивает только базовый периметр защиты — то, что должно быть реализовано в первую очередь. Торбенко Е.Б. сформулировала реальные причины провалов. Это не абстрактные тезисы — это выводы из сотен реальных проверок. ПРИЧИНА 1: Безопасников не пускают в производс
Оглавление

На Инфофоруме-2026 прозвучало то, о чём обычно говорят шёпотом: более трети компаний не дотягивают даже до минимального уровня защищённости. При этом список типовых нарушений из года в год не меняется. Елена Борисовна Торбенко, начальник управления техническим контролем ФСТЭК, назвала реальные причины провалов в защите значимых объектов КИИ.

И знаете что? Проблема не в технологиях. Она в людях и процессах.

Цифры, которые неудобно обсуждать

Статистика Инфофорума-2026 безжалостна:

• 1200+ типовых нарушений выявлено при госконтроле

• Только 34% компаний достигают минимального уровня защищённости (по методике ФСТЭК)

• Количество административных дел за нарушения растёт год к году

• Половина мер от ФСТЭК связана с незакрытыми уязвимостями

И это при том, что методика оценивает только базовый периметр защиты — то, что должно быть реализовано в первую очередь.

Семь системных причин, почему защита не работает

Торбенко Е.Б. сформулировала реальные причины провалов. Это не абстрактные тезисы — это выводы из сотен реальных проверок.

ПРИЧИНА 1: Безопасников не пускают в производственные процессы

ИБ-подразделения узнают о создании новых систем постфактум — когда нужно найти виноватых за падение или утечку. В результате требования безопасности реализуются «на бумаге», а системы остаются незащищёнными.

«Эксплуатационщики не погружают безопасников в вопросы создания систем. Требования выполняются только формально», — подчеркнула Торбенко.

ПРИЧИНА 2: Один безопасник на тысячу объектов

При наличии десятков и сотен защищаемых объектов вся ответственность падает на одного человека. Обновления, мониторинг, реагирование — всё на плечах ИБ-специалиста, который физически не успевает.

В этом процессе должны участвовать IT-подразделения, эксплуатирующие службы, обеспечивающие отделы. Но на практике — «только он, и всё».

ПРИЧИНА 3: Специалисты не знают, что они защищают

На практически 100% проверок выявляется одно и то же нарушение: сведения о защищаемом объекте в реестре не соответствуют реальности.

«Наш любимый пример — когда мы в первый день госконтроля вместе со специалистами водим пальцем по схеме сети, чтобы разобраться, где заканчивается периметр защищаемого объекта», — рассказала представитель ФСТЭК.

Что-то меняется, безопасника не предупреждают. Архитектура трансформируется, уязвимости множатся, меры защиты становятся неэффективными.

ПРИЧИНА 4: Критические уязвимости годами остаются открытыми

На подавляющем большинстве систем обнаруживаются уязвимости высокого и критического уровня опасности. Не полугодичной давности — речь о багах, которым несколько лет.

Организации не работают с процессом управления уязвимостями. Где-то внутри что-то латают, но на периметре остаются дыры, через которые атакующие входят годами.

Половина мер, направляемых ФСТЭК, связана именно с уязвимостями используемых технологий.

ПРИЧИНА 5: Подрядчики работают с пляжа

В договорах с подрядчиками не прописаны требования по безопасности. «Обычные айтишные подрядчики не знают, что в значимых объектах нужно применять какие-то меры», — констатирует Торбенко.

Результат: администрирование критической инфраструктуры из дома, с берега тёплого моря, через незащищённые каналы.

ПРИЧИНА 6: Квалификация персонала на нуле

Эксплуатирующий персонал не знает правил безопасности, не понимает свои обязанности. Постоянные тренинги и информирование должны вестись непрерывно, но на практике этим никто не занимается.

ПРИЧИНА 7: Резервирование — это не про вас

Отсутствие резервных площадок и каналов связи. При инциденте вся система встаёт. Торбенко отдельно упомянула важность разведения мер в рамках резервирования — но многие компании до этого даже не дошли.

Что изменилось законодательно: коротко о главном

58-ФЗ вступил в силу. Ключевые изменения:

• Индивидуальные предприниматели исключены из субъектов КИИ

• Усилена отраслевая составляющая — типовой перечень объектов ждём весной

• Процедура категорирования уточнена, новые показатели критериев значимости вступили в силу (особенно для оборонки, транспорта, финансов)

• Расширены полномочия ФСТЭК — включение в КонсультантПлюс и работа НКЦКИ

• В реестр теперь вносятся внешние IP-адреса и соответствие типовому перечню

Главное: если ваш объект попал под новые критерии значимости — пересмотрите сведения и направьте актуализацию в ФСТЭК. Иначе это нарушение 19.15 КоАП.

Вопрос о мессенджере MAX: как ФСТЭК относится к новым решениям

На форуме прозвучал острый вопрос об использовании мессенджера MAX в значимых объектах, особенно с учётом того, что дистрибутивы находятся на GitHub.

Позиция Торбенко была чёткой: «Это отечественный мессенджер, вы имеете право его использовать. Когда любую технологию встраиваете в значимый объект — обеспечьте её безопасность».

Она особо подчеркнула: не нужно делать акцент на конкретных продуктах. У нас множество решений используют открытый код. Вопрос в защищённости конкретного внедрения и глубине погружения в вашу систему.

Напоминание: Указ 250 вышел в 2022 году, а с 1 мая 2025 вступили ограничения по использованию зарубежных недружественных средств защиты. Ориентируйтесь на более безопасные отечественные технологии заблаговременно.

Что делать прямо сейчас

Если узнали себя хотя бы в одном из семи пунктов — начните с малого:

• Инвентаризируйте активы реально, не для галочки. Знайте свой периметр.

• Внедрите процесс управления уязвимостями по руководству ФСТЭК — оцените, приоритизируйте, закройте критичные дыры на периметре.

• Распределите роли, функции и ответственность. Безопасник должен стать менеджером процесса, а не одиночкой-героем.

• Включите требования по безопасности в договоры с подрядчиками. Пропишите правила доступа, логирование, аудит.

• Обучайте персонал непрерывно. Не разовыми тренингами раз в год — системно.

«Надеюсь, что совместными усилиями через год количество нарушений уменьшится», — завершила своё выступление Елена Борисовна.

Обсудим?

Хочу услышать ваш опыт:

• С какой из семи причин вы сталкиваетесь чаще всего в своей компании?

• Как вы распределяете ответственность за безопасность между подразделениями?

• Удалось ли вам выстроить работающий процесс управления уязвимостями?

• Как контролируете подрядчиков при работе с критической инфраструктурой?

Делитесь опытом в комментариях. Давайте найдём работающие решения вместе — не для отчётов, а для реальной защиты.

---

Материал подготовлен на основе выступления Елены Борисовны Торбенко (начальник управления техническим контролем ФСТЭК) на Инфофоруме-2026.

#КИИ #ФСТЭК #КибербезопасностьРоссия #ЗащитаИнфраструктуры #Инфофорум2026 #ИнформационнаяБезопасность