28 января на всероссиййском форуме «Инфофорум 2026», посвящённом вопросам кибербезопасности, Федеральная служба по техническому и экспортному контролю (ФСТЭК) России обнародовала итоги инспекции семисот ключевых объектов критической информационной инфраструктуры (КИИ). Проверка позволила обнаружить свыше 1200 отступлений от норм, при этом лишь 36% проверенных организаций подтвердили соответствие минимально требуемым стандартам киберзащиты.
Источник изображения: Nvidia
По итогам мероприятий было направлено более 2000 предписаний об устранении нарушений законодательства, а также составлено 603 административных протокола: 111 — за несоблюдение регламентов защиты КИИ и 492 — за непредоставление или несвоевременное предоставление сведений в ФСТЭК. Для сравнения, в ходе аналогичной проверки в 2024 году, когда инспекции подверглись 800 объектов КИИ, было выявлено более 800 нарушений.
Ключевые причины выявленных недостатков были озвучены в докладе начальника управления ФСТЭК России Елены Торбенко. Одной из основных проблем она назвала системное исключение специалистов по информационной безопасности (ИБ) из бизнес-процессов. При этом обязанности по защите значимых объектов КИИ возлагаются исключительно на подразделения ИБ, хотя эффективное выполнение этих задач невозможно без вовлечения разработчиков и эксплуатационного персонала. Ещё одним слабым звеном является недостаточный и несистемный учёт ИТ-активов, что препятствует своевременному обновлению защитных мер.
ФСТЭК также обратила внимание на отсутствие централизованного управления инструментами защиты и нехватку квалифицированных кадров в сфере ИБ. Как отметила Торбенко, распространённая в организациях практика эпизодического, а не непрерывного контроля уровня защищённости «оставляет лазейки для использования уязвимостей». Кроме того, она указала на недопустимость хранения резервных копий данных в той же среде, что и основные рабочие системы, поскольку это ставит под сомнение возможность восстановления информации после кибератаки.
Источник изображения: ФСТЭК России
Эксперты из Bi.Zone, компании, занимающейся управлением цифровыми угрозами, выделили проблему «скрытых активов» — к ним причисляют любое оборудование, программы, онлайн-сервисы и доменные имена, о которых не осведомлена служба информационной безопасности. Согласно исследованию Bi.Zone, на подобных ресурсах концентрируется 78 % всех выявляемых уязвимостей. Анализ ИТ-инфраструктуры более двухсот отечественных организаций выявил, что только 2 % из них обладают исчерпывающими данными о всех своих цифровых ресурсах. «Чем обширнее у компании массив неучтённых ИТ-активов, тем больше шансов, что злоумышленники уже проникли в систему и выжидают подходящего момента для извлечения выгоды — например, для шифрования информации с целью вымогательства или перепродажи доступа в теневом сегменте интернета», — отмечает Павел Загуменнов, руководитель направления EASM в Bi.Zone.
