Даже неопытный хакер может взломать 8 из 10 крупных компаний

Даже неопытный хакер может взломать 8 из 10 крупных компаний

Крупному бизнесу с каждым годом сложнее защищаться от кибернападений и все больше успешных атак может провести злоумышленник низкой квалификации. Такие выводы содержатся в исследовании компании Positive Technologies на основе тестов на проникновение, проведенных в 2013 году, и сравнения полученных данных с результатами аналогичного исследования за 2011—2012 гг.

Для исследования были выбраны 14 систем крупных государственных и коммерческих компаний — как российских, так и зарубежных. Большинство из них относятся к сфере промышленности, также в список вошли телекомы, банки, строительные компании. Более трети исследованных компаний представляют собой распределенные системы с множеством филиалов в разных городах и странах.

Согласно полученным данным, в 2013 году 86% корпоративных систем оказались подвержены уязвимостям, позволяющим получить полный контроль над критически важными ресурсами — платежными системами, электронной почтой, хранилищами персональных данных и документов, ERP-системами (например, SAP), АСУ ТП. Половина рассмотренных систем позволила получить полный контроль над критическими ресурсами со стороны внешнего злоумышленника. Для каждой третьей системы (29%), чтобы получить контроль над такими ресурсами, достаточно иметь доступ к пользовательскому сегменту внутренней сети.

Более половины (57%) систем, исследованных в 2013 году, содержали критические уязвимости, связанные с использованием устаревших версий ПО и ОС, что хуже результатов предыдущих лет (45%). Средний возраст наиболее устаревших неустановленных обновлений составляет 32 месяца. В одной из систем была выявлена опасная уязвимость 9-летней давности (2004 год).

В среднем для преодоления периметра корпоративной сети внешнему атакующему в 2013 году требовалось использовать лишь две уязвимости (в предыдущие годы требовалось три шага). Для проведения атаки в 82% случаев хакеру достаточно иметь среднюю или низкую квалификацию.

Уровень защищенности внутренних сетей тоже понизился по сравнению с 2011—2012 гг. Лишь в 17% случаев внутренний атакующий должен обладать высокой квалификацией для получения доступа к критически важным ресурсам, а в половине всех исследованных систем успешные атаки возможны со стороны любого неквалифицированного пользователя внутренней сети.

Подобное ухудшение ситуации связано с тем, что угрозы растут быстрее, чем защита: технологии киберзащиты почти не меняются, в то время как методы и инструменты злоумышленников развиваются очень активно.

Как для внешних атак, так и для внутренних нарушителей самая распространенная уязвимость — слабые пароли. К примеру, пароль «123456» использовался администраторами внутренних сетей в каждой третьей системе.

Впрочем, есть и позитивные новости: осведомленность сотрудников компаний в вопросах безопасности в 2013 году заметно улучшилась. Снизилось количество переходов по потенциально вредоносной ссылке, полученной в электронном письме (с 19 до 11%), значительно меньше стало случаев ввода учетных данных в фальшивые формы и запуска приложенных к письму файлов (4% против 18% в предыдущие два года). Однако количество пользователей, вступивших в онлайновый диалог с потенциальным злоумышленником, осталось на уровне прошлых лет (3%).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минцифры предлагает предоставлять отсрочки ИТ-специалистам без дипломов

Минцифры предложило расширить перечень ИТ-специалистов, имеющих право на отсрочку от призыва в армию. Нововведения касаются тех, кто окончил обучение, но на момент формирования списков ещё не получил диплом о высшем образовании.

Соответствующий проект опубликован на Портале проектов нормативных актов. К уже действующим критериям планируется добавить два новых:

  • Право на отсрочку получат сотрудники аккредитованных ИТ-компаний, завершившие обучение, но не имеющие диплома на момент формирования списков Минцифры (например, если выпуск состоялся в январе, а диплом будет выдан в феврале). В этом случае документ необходимо будет предоставить в призывную комиссию отдельно;
  • В перечень ИТ-специальностей для получения отсрочки предложено включить дополнительные направления: магистратуру по специальностям «Радиофизика» и «Статистика», бакалавриат по направлению «Ядерная физика и технологии» и ряд других.

«Изменения помогут молодым специалистам без перерыва строить карьеру в ИТ, а также позволят сохранить квалифицированные кадры в отрасли. При этом новые правила не создадут дополнительной нагрузки для бизнеса», — отметили в Минцифры.

Если поправки будут приняты, они вступят в силу с 2026 года и не затронут осенний призыв 2025 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru