Добавить в корзинуПозвонить
Найти в Дзене
О чем говорит Кибер КИТ
10 подписчиков

Аудит ИБ показал 60% уязвимостей: что бизнес игнорирует годами

10
7 мин
В профессиональной среде информационной безопасности (далее – ИБ) давно нет иллюзий: проблема уязвимостей − не в отсутствии технологий, а в системных управленческих решениях. Когда по итогам аудита фиксируется, что «60% инфраструктуры уязвимо», это не аномалия, а ожидаемый результат. Более того, реальная картина зачастую хуже. По данным исследований, более 60% компаний могут быть взломаны в течение суток при целевой атаке (Interfax.ru). В других проектах по тестированию на проникновение цифры еще жестче: 79% внутренних инфраструктур уязвимы для полного захвата, а в 62% случаев обнаруженные уязвимости имеют высокий уровень риска (РБК Компании). При этом в ряде исследований до 96% организаций демонстрируют критические недостатки защиты, позволяющие злоумышленнику получить контроль над системами (CFO Россия). Эти цифры не противоречат друг другу − они описывают одну и ту же системную проблему: бизнес годами игнорирует базовые вещи, несмотря на инвестиции и рост осведомленности персонала о
Оглавление

В профессиональной среде информационной безопасности (далее – ИБ) давно нет иллюзий: проблема уязвимостей − не в отсутствии технологий, а в системных управленческих решениях. Когда по итогам аудита фиксируется, что «60% инфраструктуры уязвимо», это не аномалия, а ожидаемый результат. Более того, реальная картина зачастую хуже.

По данным исследований, более 60% компаний могут быть взломаны в течение суток при целевой атаке (Interfax.ru). В других проектах по тестированию на проникновение цифры еще жестче: 79% внутренних инфраструктур уязвимы для полного захвата, а в 62% случаев обнаруженные уязвимости имеют высокий уровень риска (РБК Компании). При этом в ряде исследований до 96% организаций демонстрируют критические недостатки защиты, позволяющие злоумышленнику получить контроль над системами (CFO Россия).

Эти цифры не противоречат друг другу − они описывают одну и ту же системную проблему: бизнес годами игнорирует базовые вещи, несмотря на инвестиции и рост осведомленности персонала о кибербезопасности.

Важно понимать: в российской практике ИБ − это не только техническая дисциплина, но и регулируемая область права.

Ключевые нормативные акты:

  1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» задает базовые принципы защиты информации и обязанности операторов информационных систем (далее – ИС).
  2. Федеральный закон от 27.07.2026 № 152-ФЗ «О персональных данных» устанавливает требования к обработке и защите персональных данных, включая меры защиты, уровни защищенности и ответственность оператора.
  3. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры, вводит обязательную категоризацию объектов и реагирование на инциденты.
  4. Подзаконные акты ФСТЭК России и ФСБ России конкретизируют требования и фактически формируют практическую модель защиты информации.

С точки зрения уполномоченных органов, наличие уязвимостей само по себе не является нарушением. Нарушением становится непринятие мер по их устранению в рамках установленных требований и модели угроз.

60% уязвимостей − это не про технологии, а про приоритеты

Если разложить типовой отчет аудита, становится очевидно: подавляющее большинство критичных проблем не связано со «сложными атаками». Это либо неправильная конфигурация, либо устаревшие подходы к управлению доступом.

Показательно, что в 63% кейсов внешнего проникновения достаточно низкой квалификации злоумышленника (CFO Россия). Это означает, что речь идет не об уязвимостях нулевого дня (zero-day) или сложных целевых атаках (APT), а о базовых ошибках в виде, например, слабой аутентификации, избыточных прав или открытых сервисов.

С точки зрения аналитики ИБ это ключевой вывод: 60% уязвимостей − это не «дыры», это организационный долг.

Внутренний периметр − главный слепой участок

Практически все современные исследования сходятся в одном: бизнес продолжает защищать внешний периметр, игнорируя внутренний.

Статистика показывает:

  • в 79% компаний возможен полный захват внутренней инфраструктуры (РБК Компании);
  • при этом на внешнем периметре доля критических уязвимостей вдвое ниже.

Это классическая ошибка архитектуры: компании исходят из предположения «внутри безопасно». На практике же большинство атак развиваются после первичного проникновения − через учетные записи, сетевые доверия и слабую сегментацию. И именно здесь концентрируются наиболее опасные уязвимости.

Иллюзия зрелости: инвестиции растут, риски тоже

Интересный парадокс: бизнес начал больше инвестировать в ИБ, но уровень уязвимостей не снижается.

  • 83% компаний увеличили расходы на кибербезопасность;
  • 64% изменили отношение к ИБ после 2022 года (ComNews).

Однако:

  • рост атак продолжается;
  • количество успешных компрометаций не падает;
  • средний уровень защищенности остается низким.

Причина в неправильном распределении инвестиций: инструменты внедряются быстрее, чем выстраиваются процессы управления рисками и уязвимостями.

Уязвимости как накопленный технический долг

Если смотреть на данные пентестов и аудитов в динамике, становится очевидно: уязвимости редко возникают внезапно. Они накапливаются. Например, в среднем на одну компанию приходится десятки уязвимостей, многие из которых не закрываются годами (Habr). При этом:

  • более 68% инцидентов связаны с ошибками пользователей;
  • до 71% компаний признают уязвимость к внутренним угрозам (Habr).

Это подтверждает системный характер проблемы: уязвимости − это следствие процессов, а не отдельных ошибок.

Так почему же бизнес игнорирует очевидное?

С практической точки зрения можно выделить несколько причин, почему одни и те же проблемы выявляются на аудите из года в год.

  1. Отсутствие связи ИБ с бизнес-рисками. Пока уязвимость не приводит к инциденту, она не воспринимается как угроза.
  2. Фокус на внешнем аудите, а не на устранении. Аудит воспринимается как формальность, а не как инструмент изменений.
  3. Конфликт между удобством и безопасностью. Избыточные права и слабые политики доступа часто осознанно сохраняются.
  4. Отсутствие ответственности за риск. ИБ фиксирует проблему, но не управляет ее устранением.

Главный вывод: проблема не в количестве уязвимостей.

Когда аудит показывает «60% уязвимостей», это не показатель плохой ИТ-команды. Это индикатор зрелости управления.

С практической точки зрения важны не сами уязвимости, а три фактора:

  • время их существования;
  • контекст (где они находятся);
  • возможность цепочки эксплуатации.

Именно поэтому в 60–80% случаев пентест заканчивается полной компрометацией инфраструктуры − не из-за одной критической ошибки, а из-за их комбинации. Современная статистика однозначна: уязвимости − это норма, но их массовость − результат управленческих решений.

Главная проблема бизнеса не в том, что у него есть уязвимости. А в том, что он годами знает о них и ничего не меняет.

Если смотреть на проблему не как на набор уязвимостей, а как на управленческую модель, становится очевидно: большинство компаний не управляют безопасностью − они фиксируют ее состояние. Аудиты, сканирования и пентесты превращаются в инструмент наблюдения, а не изменения.

Первое, что необходимо изменить, − это подход к оценке уязвимостей. Пока они воспринимаются как технические дефекты с абстрактными баллами критичности, они не становятся приоритетом для бизнеса. В реальности значение имеет не оценка критичности уязвимости (CVSS), а то, к каким последствиям может привести конкретная цепочка эксплуатации: простой сервиса, компрометация данных, нарушение требований законодательства. Только в этой логике уязвимости начинают конкурировать за ресурсы наравне с другими бизнес-рисками.

Второй системный сдвиг связан с управлением уязвимостями как процессом. В большинстве организаций он либо отсутствует, либо сводится к нерегулярным сканированиям. При этом ключевая характеристика риска − не количество уязвимостей, а время их существования в инфраструктуре. Если критичная уязвимость сохраняется месяцами или годами, это уже не техническая проблема, а управленческий дефект: отсутствуют приоритизация, контроль сроков и ответственность за устранение.

Отдельного внимания требует модель управления доступом. Практика аудитов показывает, что значительная часть критичных сценариев компрометации строится не на сложных атаках, а на комбинации избыточных прав и доверительных связей внутри инфраструктуры. Это означает, что вопрос минимизации привилегий, сегментации доступа и контроля привилегированных учетных записей имеет более высокий приоритет, чем внедрение дополнительных средств защиты.

Тот же вывод применим к архитектуре в целом. Подход, при котором внутренняя сеть априори считается доверенной, больше не работает. Большинство современных атак развиваются уже после первичного проникновения, используя горизонтальное перемещение и накопление прав. Поэтому переход к моделям, в которых каждое взаимодействие требует проверки и не предполагает доверия по умолчанию, становится не «лучшей практикой», а необходимостью.

Отдельная проблема − формализация требований. На практике соответствие требованиям федеральных законов и подзаконных актов часто достигается на уровне документации, но не на уровне реальной реализации мер. Это создает иллюзию защищенности: формально требования выполнены, фактически − ключевые механизмы либо не работают, либо обходятся. Именно в этом разрыве между комплаенсом и реальной безопасностью и формируется значительная часть уязвимостей, выявляемых при аудитах.

Наконец, критическим фактором остается распределение ответственности. Во многих организациях функции ИБ ограничиваются выявлением и фиксацией рисков, тогда как устранение зависит от информационных технологий или бизнеса и не имеет жесткой приоритизации. В результате уязвимости становятся «ничьими» и продолжают существовать в системе. Пока у риска нет владельца, а у устранения − контролируемых сроков, сама модель управления остается неработоспособной.

В этом контексте ключевой вопрос − не в том, сколько уязвимостей обнаружено, а в том, как быстро и последовательно организация способна их устранять. Именно это различает компании, которые можно скомпрометировать за сутки, и те, которые способны выдерживать целевые атаки.

Гаджеты и электроника
5,73 млн интересуются