В 2025 году ФСТЭК России провела проверку почти 800 значимых объектов критической информационной инфраструктуры (КИИ). Выявлено более 1,2 тыс нарушений и недостатков в обеспечении безопасности таких объектов. Из них более 80% нарушений и недостатков оказались типовыми. Об этом представитель ФСТЭК Елена Торбенко сообщила на Инфофоруме-2026 в Москве.
О типовых нарушениях
По данным начальника управления Федеральной службы по техническому и экспортному контролю (ФСТЭК) Елены Торбенко, по итогам 2025 года служба провела проверку почти 800 значимых объектов КИИ. Проверки показали, что 36% организаций имеют минимальную степень защиты от IT-нарушителей с самыми низкими возможностями для проведения хакерских атак. Было выявлено более 1,2 тыс нарушений в ИБ-сфере, из которых подавляющее большинство (от 80%) считаются типовыми.
В частности, это несоответствие фактического состава значимых объектов КИИ тем сведениям, которые были переданы в реестр значимых объектов КИИ. В числе других типовых нарушений - отсутствие контроля за действиями организаций-подрядчиков, которым разрешен доступ к ПО и ПАК значимых объектов КИИ, а также непроведение мероприятий по выявлению и анализу уязвимостей на значимых объектах КИИ, отсутствие компенсирующих мер, обеспечивающих блокирование угроз безопасности информации, и обновлений антивирусных баз.
Кроме того, типовым нарушением считается осуществление администрирования с рабочих мест, находящихся в корпоративных сетях и выходом в интернет, без реализованных мер обеспечения безопасности. И применение средств защиты информации (СЗИ), чьи сроки прохождения признаны недействующими.
«Мы каждый год даем предприятиям рекомендации. Каждый год рассказываем, что же нужно сделать. Тем не менее, подавляющее большинство тех нарушений, с которыми мы сталкиваемся в рамках госконтроля, остаются типовыми. Они встречаются как в автоматизированных системах управления, так и в информационных системах. Отрицательным фактором является то, что при проведении оценки уровня защиты от нарушителей по методике, которую мы утвердили в конце 2025 года, чуть больше трети организаций достигают лишь минимального уровня защищенности. Хотя эта методика оценивает только то, что должно быть реализовано в первую очередь в системе предприятия, в его периметре защищаемых ресурсов», - пояснила она.
Антирейтинг ФСТЭК
Елена Торбенко перечислила основные проблемы, которые приводят к нарушениям на объектах КИИ.
Во-первых, к частым проблемам приводят мероприятия по ИБ и безопасности значимых объектов (КИИ), которые не встроены в производственный процесс компаний. В связи с чем, ИБ-специалисты не участвуют в значимых решениях, в частности, в принятии или вводе в эксплуатацию автоматизированных систем. Также без их участия происходит заключение контрактов с подрядными организациями. В результате, ИБ-подразделение узнает о системе после ее запуска или о доступе подрядных организаций к системе после произошедшего инцидента.
Во-вторых, на предприятиях отсутствует распределение функций и ролей по безопасности значимых объектов КИИ между разными подразделениями. Функции по обеспечению безопасности объектов КИИ возложены только на ИБ-подразделения. Специалисты по эксплуатации систем, IT-специалисты, без которых невозможно реализовать определенные мероприятия, не участвуют в обеспечении безопасности КИИ.
На третьем месте в антирейтинге ФСТЭК - незнание своего периметра и объектов КИИ. В результате контрольных мероприятий ведомство выявляет сетевые адреса и службы, доступные из сети интернет, о которых ИБ-специалисты не знают. Как итог, в периметре информационной инфраструктуры появляются неустранённые уязвимости, доступные для эксплуатации нарушителем.
В-четвертых, это игнорирование предприятиями критических уязвимостей систем. По-прежнему используется зарубежное ПО, которое имеет уязвимости, а его поддержка в России прекращена. В этой связи, в значимом объекте КИИ имеется значительное количество уязвимостей, которые могут эксплуатироваться хакерами. Пятая проблема, из числа обозначенных представителем ФСТЭК, - это закупка дорогостоящих средств защиты информации и контроля при отсутствии квалифицированного персонала. В частности, на предприятии применяются СЗИ, требующие определенной квалификации специалистов. Однако малая штатная численность подразделений по информационной безопасности (2-4 работника) приводит к неэффективной эксплуатации уже имеющихся СЗИ. Такие средства защиты должным образом не настраиваются, не эксплуатируются, в связи с чем, отсутствует реакция на сигналы о киберугрозах.
В числе других проблем - отсутствие централизации управления СЗИ, периодичный контроль вместо постоянного мониторинга состояния ИБ-защищенности предприятия, а также хранение резервных копий вместе с защищаемыми данными. К примеру, резервные копии хранятся на виртуальных серверах, на которых размещаются значимые объекты КИИ. Из-за этого при шифровании и стирании информации в результате компьютерного инцидента атаке подвергается вся информационная инфраструктура без возможности восстановления.
Штрафные санкции
«По итогам выявленных нарушений мы возбуждаем административные дела. За 2025 года в части технических нарушений было возбуждено более 120 административных дел в отношении должностных и юридических лиц. Еще одной проблемой является определение того, что же мы должны защищать. Зачастую нарушитель заходит через те системы, которые предприятием не определены как объекты КИИ. В этой связи больше двух тысяч писем о необходимости присвоения категории значимости было направлено в адрес субъектов за 2025 год. Положительной тенденцией является, что только на 10% этих писем не были вовремя получены ответы, из-за чего нам пришлось применять административные процедуры. То есть важность и нужность этих мероприятий в стране понимается», - отметила Елена Торбенко.
Тем не менее, по её данным, количество административных дел за несоблюдение категорирования объектов КИИ увеличилось в разы: службой возбуждено более 400 дел за предыдущий период.
«В следующем году мы планируем увеличивать количество контрольных мероприятий, чтобы охватить все сферы ИБ, всех субъектов», - добавила начальник управления ФСТЭК.
Фото: TelecomDaily.