Российская Федеральная служба по техническому и экспортному контролю в ходе инспекций 700 важных объектов критической информационной инфраструктуры обнаружила более 1200 нарушений. Лишь 36% организаций обеспечили базовый уровень защиты от злоумышленников с ограниченными возможностями. Среди главных проблем — системное исключение экспертов по кибербезопасности из бизнес-процессов и неполный учет ИТ-активов.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) России зафиксировала свыше 1200 нарушений в области защиты критической информационной инфраструктуры (КИИ), сообщает издание «Коммерсант». Ведомство указывает, что ключевыми причинами стали системное отдаление специалистов по информационной безопасности от бизнес-процессов и отсутствие полной инвентаризации ИТ-ресурсов.
Согласно информации ФСТЭК, в рамках государственного надзора на более чем 700 значимых объектах КИИ (включая банковский сектор и промышленность) было выявлено свыше 1200 нарушений, направлено более 2000 предписаний об исполнении законодательства и составлено 603 административных протокола (111 дел — по статье о нарушении порядка защиты КИИ, 492 дела — по статье о непредставлении или несвоевременном представлении сведений в ФСТЭК). При этом, как отметили в службе, лишь 36% организаций достигли минимально необходимого уровня защиты от злоумышленников с невысоким потенциалом.
В 2024 году ФСТЭК сообщала о более чем 800 выявленных нарушениях требований безопасности, однако тогда было проведено около 800 проверок значимых объектов КИИ.
ФСТЭК является федеральным органом исполнительной власти, отвечающим за реализацию государственной политики, межведомственную координацию и контрольные функции в сфере государственной безопасности.
В своем выступлении начальник управления ФСТЭК России Елена Торбенко обозначила основные причины выявленных нарушений.
По словам Елены Торбенко, часто возникает ситуация, когда специалисты по информационной безопасности не обладают полной информацией и не имеют доступа к определенным данным, что связано с их недостаточным вовлечением в процессы разработки, эксплуатации и модернизации ИТ-систем.
Она также подчеркнула, что обязанности по обеспечению безопасности значимых объектов КИИ возлагаются исключительно на подразделения ИБ, хотя в этом процессе должны участвовать все стороны, связанные с созданием и эксплуатацией ИТ-систем.
Как отметила г-жа Торбенко, практически во всех случаях проверок фиксировалось полное несоответствие между данными об объекте, внесенном в реестр, и его фактическим состоянием. Например, об изменениях в архитектуре или технологиях не сообщают специалисту по ИБ, который, в свою очередь, не успевает актуализировать необходимые меры защиты.
ФСТЭК также выделила такие сложности, как децентрализованное управление многочисленными средствами защиты на фоне кадрового дефицита, что замедляет реагирование на угрозы. Кроме того, во многих компаниях проверки безопасности проводятся эпизодически, а не в постоянном режиме, что создает возможности для использования уязвимостей в информационных системах.
Особую озабоченность, по словам представителей ФСТЭК, вызывает размещение резервных копий данных в той же среде, что и основные рабочие системы, что ставит под сомнение возможность восстановления после кибератаки.
Приведенные данные демонстрируют глубинные проблемы в работе многих организаций КИИ, считает главный инженер по информационной безопасности компании «Уралэнерготел» Сергей Ратников. Он пояснил, что некоторые предприятия КИИ долгое время не вели полноценного учета активов, что привело к неполному пониманию уязвимых точек в их ИТ- и ИБ-архитектуре.
«Учет активов — это не единовременная акция, а регулярная деятельность, требующая участия как внутренних отделов, так и сторонних экспертов, включая лицензиатов Федеральной службы безопасности (ФСБ) и ФСТЭК», — подчеркивает глава департамента информационной безопасности «Альфа-банка» Сергей Крамаренко.
В сфере информационной безопасности теневые активы — это любые устройства, программы, сервисы и домены, о которых не осведомлена служба кибербезопасности и для которых не применяются стандартные процедуры защиты.
Согласно исследованию Bi.Zone, на таких ресурсах сосредоточено 78% всех уязвимостей. Анализ ИТ-инфраструктуры более 200 российских компаний показал, что лишь 2% из них полностью осведомлены о всех своих активах, включая корпоративные домены, IP-адреса и размещенные сервисы.
«Чем больше у организации скрытых ИТ-ресурсов, тем выше шанс, что злоумышленники уже проникли в инфраструктуру и выжидают подходящий момент для атаки, например, для шифрования данных с целью вымогательства или продажи доступа в даркнете», — отметил руководитель направления external attack surface management Bi.Zone Павел Загуменнов.
