IT-системы крупных российских структур, включая промышленные и телекоммуникационные компании, госорганы и банки, в 40% случаев содержат критически опасные уязвимости, связанные с недостатками конфигурации, пишет "Коммерсант" со ссылкой на отчет компании Positive Technologies по итогам 2016 года.
Согласно выводам аналитиков, 27% систем обладают критически опасными уязвимостями, связанными с ошибками в коде веб-приложений, а еще 20% - уязвимостями из-за неустановки обновлений софта. Как отмечается в отчете, информация о самой старой из обнаруженных уязвимостей, а также соответствующее обновление были опубликованы более 17 лет назад, а средний возраст наиболее устаревших неустановленных обновлений по уязвимым системам составляет девять лет.
Как показали исследования Positive Technologies, в 55% случаев внешний нарушитель, обладающий минимальными знаниями и сравнительно низкой квалификацией, способен преодолеть защиту и получить доступ к ресурсам в локальной сети компании. В среднем для этого достаточно отыскать только две уязвимости в используемом компанией ПО.
По словам руководителя аналитического центра Zecurion Владимира Ульянова, системное или прикладное ПО без необходимых обновлений стоит примерно в девяти из 10 российских компаний.
"Причин для этого много. В некоторых компаниях боятся, что после обновления какой-то компонент откажется работать или начнет работать неправильно. Принцип "работает - не трожь" до сих пор одна из главных догм системных администраторов", - рассказал Ульянов.
Напомним, в январе этого года замглавы центра безопасности связи ФСБ России Николай Мурашов заявил, что за год объекты критической информационной инфраструктуры России подвергались атакам около 70 млн раз. По данным компании Group-IB, объем похищенных хакерами средств из российских банков за тот же период составил 5,5 млрд рублей.