Только треть критической инфраструктуры российских организаций достигла минимального уровня киберзащиты
ФСТЭК России выявила свыше 1,2 тыс. нарушений по итогам проверки 700 значимых объектов критической информационной инфраструктуры (КИИ). При этом минимальный уровень киберзащиты достигнут лишь у 36% организаций. В числе ключевых причин — системное отстранение ИБ-специалистов от бизнес-процессов и отсутствие полного учета IT-активов.
Иллюстрация: «Софтлайн».
Доклад, на который ссылается издание «Коммерсант», Федеральная служба по техническому и экспортному контролю представила на национальном форуме по кибербезопасности «Инфофорум 2026». Согласно данным ФСТЭК, в рамках госконтроля более 700 значимых объектов критической информационной инфраструктуры (банки, промышленность и т. д.) было выявлено более 1,2 тыс. нарушений, а также направлено более 2 тыс. требований о выполнении законодательства и составлено 603 протокола об административных правонарушениях (111 дел по статье о нарушении установленного порядка защиты КИИ, 492 дела — по статье о непредставлении или несвоевременном представлении сведений во ФСТЭК).
При этом «минимального уровня защиты от злоумышленников с минимальными возможностями», как выразились представители ФСТЭК, достигли только 36% организаций. За 2024 год ФСТЭК отчитывалась о выявленных более 800 нарушений в обеспечении безопасности, однако тогда было проведено около 800 проверок значимых объектов КИИ.
В своем докладе начальник управления ФСТЭК России Елена Торбенко представила восемь основных причин нарушений.
Во-первых, по ее словам, часто встречается ситуация, «когда ИБ-специалисты очень многих вещей не знают и до некоторой информации не допускаются», что часто связано с тем, что их не погружают в процессы создания, эксплуатации и совершенствования систем. Также она отметила, что функции по обеспечению безопасности значимых объектов КИИ возложены только на подразделения информационной безопасности, хотя к этому процессу должны быть причастны все участники создания и эксплуатации систем. В-третьих, почти во всех случаях проверок, по словам Елены Торбенко, фиксировалось полное несоответствие сведений о включаемом в реестр объекте и его фактическом состоянием. Например, об изменениях архитектуры или технологий не предупреждают ИБ-специалиста, а он, в свою очередь, не обновляет необходимые меры защиты.
Также среди проблем ФСТЭК указала отсутствие централизованного управления средствами защиты при их большом количестве и нехватке специалистов, что приводит к невозможности своевременного реагирования на инциденты. При этом практикуемый многими организациями периодический, а не постоянный мониторинг защищенности «оставляет окна для эксплуатации уязвимостей».
Отдельной критической практикой является хранение резервных копий в одной среде с основными производственными системами, что ставит под угрозу возможность восстановления после атаки, отметили во ФСТЭК.
Подробнее на сайте издания «Коммерсантъ».
