Минимальный уровень киберзащиты
Федеральная служба по техническому и экспортному контролю (ФСТЭК) России выявила более 1,2 тыс. нарушений в сфере киберзащиты критической информационной инфраструктуры (КИИ), пишет «Коммерсант». Среди ключевых причин сложившейся ситуации ведомство называет системное отстранение специалистов по информационной безопасности (ИБ) от бизнес-процессов и отсутствие полного учета ИТ-активов.
Cогласно данным ФСТЭК, в рамках государственного контроля более 700 значимых объектов КИИ (банки, промышленность и т.д.) было выявлено более 1,2 тыс. нарушений, а также направлено более 2 тыс. требований о выполнении законодательства и составлено 603 протокола об административных правонарушениях (111 дел по статье о нарушении установленного порядка защиты КИИ, 492 дела — по статье о непредставлении или несвоевременном представлении сведений во ФСТЭК). При этом минимального уровня защиты от злоумышленников с минимальными возможностями, как выразились представители ФСТЭК, достигли только 36% организаций.
За 2024 г. ФСТЭК отчитывалась о выявленных более 800 нарушений в обеспечении безопасности, однако тогда было проведено около 800 проверок значимых объектов КИИ.
ФСТЭК является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.
Основные причины
В своем докладе начальник управления ФСТЭК России Елена Торбенко представила основные причины нарушений.
По словам Елены Торбенко, часто встречается ситуация, когда ИБ-специалисты очень многих вещей не знают и до некоторой информации не допускаются, что часто связано с тем, что их не погружают в процессы создания, эксплуатации и совершенствования ИТ-систем.
Также она отметила, что функции по обеспечению безопасности значимых объектов КИИ возложены только на ИБ-подразделения, хотя к этому процессу должны быть причастны все участники создания и эксплуатации ИТ-систем.
Почти во всех случаях проверок, по словам госпожи Торбенко, фиксировалось полное несоответствие сведений о включаемом в реестр объекте и его фактическом состоянием. Например, об изменениях архитектуры или технологий не предупреждают ИБ-специалиста, а он, в свою очередь, не обновляет необходимые меры защиты.
Cреди других проблем ФСТЭК указала отсутствие централизованного управления средствами защиты при их большом количестве и нехватке специалистов, что приводит к невозможности своевременного реагирования на инциденты. При этом практикуемый многими организациями периодический, а не постоянный мониторинг защищенности оставляет окна для эксплуатации ИТ-уязвимостей.
Отдельной критической практикой является хранение резервных копий в одной среде с основными производственными ИТ-системами, что ставит под угрозу возможность восстановления после кибератаки, отметили во ФСТЭК.
Системные проблемы
Статистика отражает системные проблемы многих организаций КИИ, отмечает главный инженер ИБ-направления компании «Уралэнерготел» Сергей Ратников. По его словам, часть предприятий КИИ исторически не вела полноценный учет активов, что привело к незнанию слабых мест в ИТ- и ИБ-ландшафтах.
«Контроль за инвентаризацией активов — это не разовое мероприятие, а непрерывный процесс, в который вовлечены как внутренние подразделения, так и экспертные организации, включая лицензиатов Федеральную службу безопасности (ФСБ) и ФСТЭК»,— отмечает руководитель департамента ИБ «Альфа-банка» Сергей Крамаренко.
Теневые активы
Любые устройства, программное обеспечение, сервисы и домены, про которые по любым причинам не знает служба кибербезопасности и к которым не применяются процессы, связанные с защитой этих активов, в ИБ-сообществе чаще всего называют теневыми активами.
По данным Bi.Zone, 78% брешей в защите находятся именно на этих ресурсах. Проверив ИТ-инфраструктуру более 200 российских компаний, в Bi.Zone установили, что только 2% организаций знают обо всех своих ИТ-активах, включая корпоративные домены, IP-адреса, а также сервисы, которые там находятся.
«Чем больше у компании теневых ИТ-ресурсов, тем выше вероятность, что атакующие уже получили доступ в ИТ-инфраструктуру и затаились внутри, выбирая момент для монетизации, например, шифрования данных ради выкупа или продажи доступа в даркнете», — отметил руководитель направления external attack surface management Bi.Zone Павел Загуменнов.
Поделиться
