По данным ФСТЭК России, у 47% субъектов критической информационной инфраструктуры (банки, операторы связи, промышленность и т.д.) состояние защиты от киберугроз находится в критическом состоянии. Регулятор отметил, что у 100 работающих государственных информационных систем (ГИС) найдено 1,2 тыс. уязвимостей, большая часть из которых высокого и критического уровня опасности. Замдиректора ФСТЭК Виталий Лютиков назвал типовыми недостатками в защите КИИ среди прочего отсутствие двухфакторной аутентификации.
Эту проблему подтверждает лидер практики продуктов для управления уязвимостями Positive Technologies Олег Кочетов:
«В компаниях сохраняются уязвимости, которые не устраняются на протяжении нескольких лет. Являясь приманкой для злоумышленников, они позволяют хакерам найти брешь в защите компании, закрепиться и не выдавать себя на протяжении нескольких лет, планируя кибератаку».
Специалисты объясняют эту ситуацию тем, что для устранения дыр в системе безопасности нужно технологическое окно, то есть полная остановка ее работы, что в круглосуточном сервисе трудно организовать. К тому же у владельцев таких систем часто отсутствует четко выстроенный процесс работы с уязвимостями: методика их обнаружения и устранения, понимание о периодичности проверки. По их мнению, на практике устранить все уязвимости практически невозможно, а главное — правильно их приоритизировать.
Организации финансового сектора России, при этом, отчитываются, что в значительной степени «закрыли» уязвимости внешнего контура.
Оценили 10 человек
13 кармы