13 Февраля 2025 09:48 13 Фев 2025 09:48 |

Поделиться

ФСТЭК обнаружила в 100 государственных ИТ-системах тысячи уязвимостей

Найдены уязвимости

В Федеральной службе по техническому и экспортному контролю (ФСТЭК) России насчитали больше тысячи уязвимостей в государственных ИТ-системах. В общей сложности 47% организаций в стране не защищены от киберугроз, пишет «Коммерсант».

ФСТЭК - федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.

Согласно оценке ФСТЭК, 47% из 170 организаций, относящихся к критически важной информационной инфраструктуре (КИИ) в ИТ-системах содержатся критические уязвимости. В государственных информационных системах при этом их обнаружено более тысячи, большая часть из которых имеют критический и высокий уровень опасности.

Регулятор отметил, что у 100 работающих государственных информационных систем (ГИС) найдено 1,2 тыс. уязвимостей, большая часть из которых высокого и критического уровня опасности.

Со слов первого заместителя директора ФСТЭК России Виталия Лютикова, некоторые из них известны регуляторам уже несколько лет. Эксперты подтверждают, что многие компании не закрывают уязвимости на протяжении долгого времени, создавая лазейки для злоумышленников. Хакеры могут годами оставаться незамеченными в сети, планируя атаки. Что касается ГИС, у их владельцев часто отсутствует четко выстроенный процесс работы с уязвимостями: методика их обнаружения и устранения, понимание периодичности проверки. Замдиректора ФСТЭК назвал типовыми недостатками в защите КИИ среди прочего отсутствие двухфакторной аутентификации и критические уязвимости на периметре ИТ-инфраструктур.

Известные проблемы

Эту проблему подтверждает лидер практики продуктов для управления уязвимостями Positive Technologies Олег Кочетов: «В компаниях сохраняются уязвимости, которые не устраняются на протяжении нескольких лет. Являясь приманкой для злоумышленников, они позволяют хакерам найти брешь в защите компании, закрепиться и не выдавать себя на протяжении нескольких лет, планируя кибератаку».

Однако на практике устранить все уязвимости практически невозможно, а главное — правильно их приоритизировать, объясняет заместитель гендиректора группы компаний «Гарда» Рустэм Хайретдинов. «Например, уязвимость, которая наиболее активно используется злоумышленниками или с высокой долей вероятности будет, должна быть устранена в первую очередь», - говорит эксперт. «Проще говоря, сломанный замок на входной двери в квартиру - это уязвимость, она облегчает взлом и кражу, но не гарантирует их: может быть ограничен вход в подъезд, может дежурить консьерж и т.п. Замок, конечно, стоит починить, но в таких условиях не то чтобы срочно», - объясняет Хайретдинов. Хоть залатать дыру в ИТ-системе - непростой процесс, нужно технологическое окно, то есть полная остановка ее работы, что в круглосуточном сервисе трудно организовать. Но и устанавливать одновременно все обновления неэффективно.

Как рассказал «Коммерсант» руководитель центра компетенций Innostage Виктор Александров, что касается ГИС, у их владельцев часто отсутствует четко выстроенный процесс работы с уязвимостями: методика их обнаружения и устранения, понимание о периодичности проверки.

Впрочем, организации финансового сектора России отчитываются, что в значительной степени «закрыли» уязвимости внешнего контура. К основной проблеме для сектора глава комитета по информационной безопасности (ИБ) Ассоциации российских банков Андрей Федорец склонен относить DDoS-атаки. ИТ-системы банков остаются доступными, но из-за критического падения скорости канала передачи данных они становятся не видны пользователям, считает эксперт. При этом справедливо не ставить в высокий приоритет дорогостоящее закрытие внутренних уязвимостей, которые в целом недоступны извне.

Антон Денисенко

Поделиться

Подписаться на новости Короткая ссылка