От необновленных антивирусов до зарубежного софта: ФСТЭК перечислила самые распространённые ошибки в безопасности критических объектов

В 2025 году Федеральная служба по техническому и экспортному контролю выявила более 1,2 тыс. нарушений. По итогам было составлено 603 протоколов по административным статьям. При этом более 80% нарушений, которые регулятор находил у компаний, имели типовой характер. Минимальный уровень защиты от нарушителей с минимальными возможностями достигли только 36% организаций. Об этом во время своего доклада на «Инфофоруме-2026» заявила начальник управления ФСТЭК Елена Торбенко. Слайды с выступления опубликовал телеграм-канал BESSEC.

Судя по слайдам, в 2025 году ФСТЭК нарастил темп проверок: объем рассмотренных сведений об объектах КИИ вырос более чем на 35%. По итогам проверок составили 111 протоколов по КоАП 13.12.1 (нарушение требований в области обеспечения безопасности критической информационной инфраструктуры) и 492 протокола по статье 19.7.15 (непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры). Максимальное наказание для юрлиц по первой статье — штраф до 500 тыс. руб., по второй — до 200 тыс. руб.

Большинство нарушений, как утверждается на слайдах, относятся к типовым. К ним ФСТЭК отнес следующие:

Продолжение ниже

1. Несоответствие фактического состава значимых объектов КИИ (ЗО КИИ) сведениям, включенным в реестр;
2. Отсутствие контроля за действиями организаций-подрядчиков, которым разрешен доступ к ПО и ПАК ЗО КИИ;
3. Непроведение мероприятий по выявлению и анализу уязвимостей на ЗО КИИ, наличие уязвимого ПО;
4. Отсутствие компенсирующих мер, обеспечивающих блокирование угроз безопасности информации;
5. Отсутствие обновления антивирусных баз;
6. Администрирование осуществляется с рабочих мест, находящихся в корпоративных сетях, имеющих выход в Интернет, без реализованных мер безопасности;
7. Применение СЗИ, странами происхождения которых явялются недружественные страны.

Регулятор также выделил ряд проблем, которые сказываются на обеспечении безопасности ЗО КИИ. Так, из-за формального подхода к разработке организационно-распорядительной документации (ОРД) по безопасности и отсутствия у специалистов по ИБ возможности участвовать в принятии значимых решений все мероприятия по ИБ не встроены в производственный процесс, а контракты с подрядчиками заключаются без участия специалистов по ИБ. Как итог: подразделения по ИБ узнают о системе либо уже после её запуска, либо после какого-либо инцидента.

Другая проблема — отсутствие распределения функций и ролей по безопасности ЗО КИИ между различными подразделениями организации. Безопасностью занимается только ИБ-подразделение, другие же специалисты не участвуют ни в каких мероприятиях по обеспечению безопасности ЗО КИИ. В итоге сотрудники используют необновленное ПО, а компенсирующих мер по защите нет.

Выгода от безопасности: компании меняют подход к оценке эффективности ИБ-инвестиций

Бюджет

Также ФСТЭК утверждает, что нередко проблема в том, что компании не знают свой периметр: в результате проверок выявляются сетевые адреса и службы, доступные из Интернета, о которых специалисты по ИБ не знают. Также не ведется инвентаризация сведений о ЗО КИИ, из-за чего на объекте может оказаться необновленное ПО.

Напомнили во ФСТЭК и про зарубежное ПО: оно не имеет поддержки, но все еще сохраняет уязвимости. Эти уязвимости недооцениваются, и в итоге под удар попадает ЗО КИИ. Также отметили проблему с кадрами — некоторые фирмы закупают дорогие средства защиты информации (СЗИ), но не имеют квалифицированного персонала для их обслуживания.