По оценке Федеральной службы по техническому и экспортному контролю (ФСТЭК) России, у 47% из 170 организаций, которые относятся к критической информационной инфраструктуре (КИИ), включая банки, операторов связи и промышленные предприятия, состояние защиты от киберугроз критическое. Об этом сообщил заместитель директора службы Виталий Лютиков.
Ещё у 40% организаций уровень защищённости низкий, и только у 13% установлен минимальный базовый уровень защиты.
Регулятор отметил, что у 100 работающих государственных информационных систем (ГИС) обнаружено 1,2 тыс. уязвимостей, большинство из которых имеют высокий и критический уровень опасности.
По словам Виталия Лютикова, некоторые уязвимости известны регулятору уже несколько лет. Эту проблему подтверждает Олег Кочетов, лидер практики продуктов для управления уязвимостями в Positive Technologies. В компаниях сохраняются уязвимости, которые не устраняются на протяжении нескольких лет. Являясь приманкой для злоумышленников, они позволяют хакерам найти брешь в защите компании, закрепиться и не выдавать себя на протяжении нескольких лет, планируя кибератаку», — говорит он.
Однако на практике устранить все уязвимости практически невозможно, а главное — правильно их приоритизировать, говорят в компании. «Например, уязвимость, которая наиболее активно используется злоумышленниками или с высокой долей вероятности будет, должна быть устранена в первую очередь», — говорит эксперт. «Проще говоря, сломанный замок на входной двери в квартиру — это уязвимость, она облегчает взлом и кражу, но не гарантирует их: может быть ограничен вход в подъезд, может дежурить консьерж и т. п. Замок, конечно, стоит починить, но в таких условиях не то чтобы срочно», — объясняет заместитель гендиректора группы компаний «Гарда» Рустэм Хайретдинов.
«Что касается государственных информационных систем, у их владельцев часто отсутствует четко выстроенный процесс работы с уязвимостями: методика их обнаружения и устранения, понимание о периодичности проверки», — считает руководитель центра компетенций Innostage Виктор Александров.
