Уязвимости не убывают
Во ФСТЭК насчитали больше тысячи уязвимостей в государственных системах
По данным ФСТЭК России, у 47% субъектов критической информационной инфраструктуры (КИИ) в IT-системах содержатся критические уязвимости. В государственных информсистемах при этом их обнаружено более тысячи, большая часть из которых имеют критический и высокий уровень опасности. Специалисты по кибербезопасности признают, что «закрыть» все уязвимости невозможно, а главная задача — это приоритизация работ в данном направлении.
Фото: Евгений Разумный, Коммерсантъ
Фото: Евгений Разумный, Коммерсантъ
Согласно оценке ФСТЭК России, у 47% из 170 организаций, относящихся к КИИ (банки, операторы связи, промышленность и т.д.), состояние защиты от киберугроз находится в критическом состоянии, сообщил замдиректора службы Виталий Лютиков 12 февраля на «ТБ Форум 2025». Еще у 40% организаций — низкий уровень защищенности, и только у 13% установлен минимальный базовый уровень защиты.
Регулятор отметил, что у 100 работающих государственных информационных систем (ГИС) найдено 1,2 тыс. уязвимостей, большая часть из которых высокого и критического уровня опасности.
По словам Виталия Лютикова, «некоторые уязвимости известны регулятору уже несколько лет».
Эту проблему подтверждает лидер практики продуктов для управления уязвимостями Positive Technologies Олег Кочетов: «В компаниях сохраняются уязвимости, которые не устраняются на протяжении нескольких лет. Являясь приманкой для злоумышленников, они позволяют хакерам найти брешь в защите компании, закрепиться и не выдавать себя на протяжении нескольких лет, планируя кибератаку».
Однако на практике устранить все уязвимости практически невозможно, а главное — правильно их приоритизировать, говорят в компании. «Например, уязвимость, которая наиболее активно используется злоумышленниками или с высокой долей вероятности будет, должна быть устранена в первую очередь»,— говорит эксперт. «Проще говоря, сломанный замок на входной двери в квартиру — это уязвимость, она облегчает взлом и кражу, но не гарантирует их: может быть ограничен вход в подъезд, может дежурить консьерж и т. п. Замок, конечно, стоит починить, но в таких условиях не то чтобы срочно»,— объясняет заместитель гендиректора группы компаний «Гарда» Рустэм Хайретдинов.
«Залатать дыру в системе — непростой процесс, нужно технологическое окно, то есть полная остановка ее работы, что в круглосуточном сервисе трудно организовать». Но и устанавливать одновременно все обновления неэффективно.
«Что касается государственных информационных систем, у их владельцев часто отсутствует четко выстроенный процесс работы с уязвимостями: методика их обнаружения и устранения, понимание о периодичности проверки»,— считает руководитель центра компетенций Innostage Виктор Александров.
Замдиректора ФСТЭК Виталий Лютиков назвал типовыми недостатками в защите КИИ среди прочего отсутствие двухфакторной аутентификации и критические уязвимости на периметре IT-инфраструктур.
Впрочем, организации финансового сектора России отчитываются, что в значительной степени «закрыли» уязвимости внешнего контура. К основной проблеме для сектора глава комитета по ИБ Ассоциации российских банков Андрей Федорец склонен относить DDoS-атаки. «Системы банков остаются доступными, но из-за критического падения скорости канала передачи данных они становятся не видны пользователям. При этом справедливо не ставить в высокий приоритет дорогостоящее закрытие внутренних уязвимостей, которые в целом недоступны извне»,— считает эксперт.