Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

ФСТЭК обнаружила в 100 государственных ИТ-системах тысячи уязвимостей

13/02/25

istockphoto-1430922801-612x612

В Федеральной службе по техническому и экспортному контролю (ФСТЭК) России насчитали больше тысячи уязвимостей в государственных ИТ-системах. В общей сложности 47% организаций в стране не защищены от киберугроз, пишет «Коммерсант».

ФСТЭК - федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.

Согласно оценке ФСТЭК, 47% из 170 организаций, относящихся к критически важной информационной инфраструктуре (КИИ) в ИТ-системах содержатся критические уязвимости. В государственных информационных системах при этом их обнаружено более тысячи, большая часть из которых имеют критический и высокий уровень опасности.

Регулятор отметил, что у 100 работающих государственных информационных систем (ГИС) найдено 1,2 тыс. уязвимостей, большая часть из которых высокого и критического уровня опасности.

Со слов первого заместителя директора ФСТЭК России Виталия Лютикова, некоторые из них известны регуляторам уже несколько лет. Эксперты подтверждают, что многие компании не закрывают уязвимости на протяжении долгого времени, создавая лазейки для злоумышленников. Хакеры могут годами оставаться незамеченными в сети, планируя атаки. Что касается ГИС, у их владельцев часто отсутствует четко выстроенный процесс работы с уязвимостями: методика их обнаружения и устранения, понимание периодичности проверки. Замдиректора ФСТЭК назвал типовыми недостатками в защите КИИ среди прочего отсутствие двухфакторной аутентификации и критические уязвимости на периметре ИТ-инфраструктур.

На практике устранить все уязвимости практически невозможно, а главное — правильно их приоритизировать, объясняет заместитель гендиректора группы компаний «Гарда» Рустэм Хайретдинов. «Например, уязвимость, которая наиболее активно используется злоумышленниками или с высокой долей вероятности будет, должна быть устранена в первую очередь», - говорит эксперт. «Проще говоря, сломанный замок на входной двери в квартиру - это уязвимость, она облегчает взлом и кражу, но не гарантирует их: может быть ограничен вход в подъезд, может дежурить консьерж и т.п. Замок, конечно, стоит починить, но в таких условиях не то чтобы срочно», - объясняет Хайретдинов. Хоть залатать дыру в ИТ-системе - непростой процесс, нужно технологическое окно, то есть полная остановка ее работы, что в круглосуточном сервисе трудно организовать. Но и устанавливать одновременно все обновления неэффективно.

Как рассказал «Коммерсант» руководитель центра компетенций Innostage Виктор Александров, что касается ГИС, у их владельцев часто отсутствует четко выстроенный процесс работы с уязвимостями: методика их обнаружения и устранения, понимание о периодичности проверки.

Впрочем, организации финансового сектора России отчитываются, что в значительной степени «закрыли» уязвимости внешнего контура. К основной проблеме для сектора глава комитета по информационной безопасности (ИБ) Ассоциации российских банков Андрей Федорец склонен относить DDoS-атаки. ИТ-системы банков остаются доступными, но из-за критического падения скорости канала передачи данных они становятся не видны пользователям, считает эксперт. При этом справедливо не ставить в высокий приоритет дорогостоящее закрытие внутренних уязвимостей, которые в целом недоступны извне.

Темы:ИсследованиегосинициативыУгрозыФСТЭК
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

  • Мисконфигурации 2024 года
    Два из трех хостов, по статистике, имеют хотя бы одну ошибку в конфигурации, которая с высокой вероятностью может привести к успешной кибератаке. Специалисты проанализировали кейсы более 150 российских компаний из различных отраслей, собрав данные почти с 300 тыс. серверов и рабочих станций.
  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • Управление уязвимостями: ожидание – реальность и рекомендации
    Сергей Уздемир, заместитель генерального директора по ИТ, АЛТЭКС-СОФТ
    ФСТЭК России разработала и утвердила методический документ по организации управления уязвимостями (VM), который устанавливает цикл этапов работ по VM. Излагаемые в нем подходы универсальны для любых организаций и тесно пересекаются с зарубежными стандартами, в частности с ISO/IEC 27002, Control 8.8 – Management of Technical Vulnerabilities.
  • Сертификация СЗИ – курс на РБПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    На рубеже 2023–2024 гг. положение разительно отличается от картины пятитилетней давности. Практики РБПО требуются повсеместно, их выполнение зачастую является одним из базовых пунктов контракта.
  • 50 лет ФСТЭК России
    18 декабря исполняется 50 лет со дня основания Гостехкомиссии СССР, которая в 2004 г. стала называться ФСТЭК России. Редакция журнала “Информационная безопасность” задала вопросы экспертам рынка, чтобы вместе рассмотреть важные вехи проходимого пути.
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...