По данным ФСТЭК России, у 47% субъектов критической информационной инфраструктуры (КИИ) есть информационные уязвимости. Минимальный уровень защиты обеспечивают только 13% организаций.
У 47% из 170 организаций КИИ есть критические уязвимости в информационной безопасности, следует из оценки ФСТЭК России. Об этом сообщает «Коммерсант». Еще у 40% организаций низкий уровень защищенности. Минимальный уровень защищенности есть только у 13% компаний.
ФСТЭК констатирует
В ФСТЭК рассказали, что у 100 работающих государственных информационных систем (ГИС) было найдено 1,2 тыс. уязвимостей, при этом большая часть из них – высокого и критического уровня опасности.
Как отмечает заместитель директора ФСТЭК Виталий Лютиков, «некоторые уязвимости известны регулятору уже несколько лет». ИБ-эксперты, в свою очередь, считают, что устранить все уязвимости невозможно, главное – их приоритезировать.
Не только КИИ
Объекты КИИ – это стратегически важные для страны информационные системы, поясняет член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин. «Нарушение их работы приведет к существенным издержкам, поэтому подобное просто недопустимо», – считает депутат.
Немкин подчеркнул, что слабая защищенность перед киберугрозами характерна для многих компаний в России: «По данным Роскомнадзора, до 90% организаций не защищены от внешних атак. Но требования к КИИ, конечно, куда выше в сравнении, например, с бизнесом. Особенно в условиях возросшего информационного давления. Напомню, что наибольшая доля высококритичных атак в 2024 году пришлась именно на объекты КИИ», – рассказал он.
Концепция «минимальной защищенности»
Немкин напомнил, что ФСТЭК России разрабатывает концепцию «минимальной защищенности» объектов критической информационной инфраструктуры. «Концепция предполагает проведение ряда базовых ИБ-мероприятий, реализация которых позволит нивелировать большинство угроз в сфере инфобеза. К ним можно отнести, например, шифрование обрабатываемой информации, регулярное резервное копирование данных всех систем, регламентацию сроков реагирования на инциденты, реализацию программ по повышению квалификации персонала», – пояснил депутат.
Ранее ФСТЭК также опубликовала проект приказа, предполагающий внесение правок в текущие требования безопасного хранения данных, не относящихся к гостайне и обрабатываемых госорганами, а также объектами КИИ. Основная цель предлагаемых поправок – повышение защищенности организаций от возможных DDoS-атак. Так, компании могут обязать хранить информацию об атаках злоумышленников в течение трех лет, а также расширить канал передачи данных для обеспечения пропуска двукратного объема трафика.
Прогноз на 2025 год
По прогнозу BI.ZONE, количество кибератак на российские компании в 2025 году останется на высоком уровне. «При этом значительная часть атак может совершаться с применением технологий искусственного интеллекта, а это – принципиально новый уровень угроз, с которыми могут столкнуться организации. Действительно, устранить все лазейки, через которые злоумышленники могут проникать в ИТ-инфраструктуру, невозможно, но вопросы безопасности должны стоять в приоритете. Пока что такого тренда нет – несмотря на ужесточение законодательства и регулярные атаки, отечественные организации все еще не исполняют законодательные требования», – отметил Немкин.
