Сайты большинства российских вузов уязвимы для кибератак

Олег Иванов 30 Октября 2018 - 18:17

Общее

Инфосистемы Джет

Средства защиты веб-сайтов (приложений)

Проверка веб-сайта на вирусы

...

Эксперты Лаборатории практического анализа защищенности компании «Инфосистемы Джет» провели исследование, в рамках которого проанализировали веб-сайты 10 ведущих вузов России по версии рейтингового агентства «Эксперт РА» на предмет наличия уязвимостей. В ходе исследования применялись только пассивные методы, не оказывающие никакого воздействия на ресурсы образовательных организаций, тестовые атаки не проводились.

Проанализировав веб-сайты ТОП-10 университетов из рейтинга «100 лучших вузов России», специалисты интегратора пришли к выводу, что ресурсы большинства вузов страны уязвимы для действий хакеров.

Как видно на графике ниже, сайт каждого вуза содержит уязвимости различной степени критичности – от низкого уровня до высокого (вузы на графике указаны в случайном порядке; обнаруженные на сайтах уязвимости показаны в отдельных столбцах, в зависимости от уровня критичности).

Так, высокий уровень критичности означает, что с помощью уязвимости хакеры могут захватить контроль над ресурсом, получить доступ к конфиденциальной информации, использовать сайт в мошеннических целях, разместить на портале любые произвольные сведения, в том числе лозунги и призывы политического характера. Средняя критичность говорит о том, что уязвимость потенциально может привести к взлому ресурса, однако злоумышленникам придется приложить усилия, чтобы успешно реализовать атаку. Уязвимости низкой критичности хакеры могут использовать как вспомогательные, например, для сбора дополнительной информации о ресурсе перед атакой.

Важно, что в ходе исследования не было обнаружено признаков работы каких-либо средств защиты информации, обеспечивающих безопасность веб-сайтов вузов.

«Результаты нашего исследования демонстрируют, что защищенность ресурсов большинства российских вузов находится на уровне ниже допустимого. Обеспечивать “бумажную безопасность”, то есть соблюдать только лишь требования законодательства о персональных данных, недостаточно. Важно уделять внимание и практической стороне информационной безопасности (ИБ). Как минимум стоит выполнять базовые правила гигиены ИБ: управлять уязвимостями и систематически обновлять ПО, проводить анализ кода, использовать практики безопасной настройки, начиная от веб-сервера и заканчивая сменой стандартного пароля «по умолчанию», — комментирует Георгий Старостин, эксперт Лаборатории практического анализа защищенности компании «Инфосистемы Джет».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 20 Июня 2025 - 10:19

Соответствие законодательству РФ Корпорации Государство Соответствие требованиям регуляторов

Минцифры готовит ужесточение критериев для реестрового ПО

Минцифры совместно с представителями отрасли ведёт работу по ужесточению требований к программному обеспечению, претендующему на включение в Реестр российского ПО. В частности, такие продукты должны быть совместимы с отечественными операционными системами и процессорами.

Как сообщает «Коммерсантъ», переход на новые правила будет поэтапным. На первом этапе они затронут только операционные системы, а затем начнут применяться и к другим видам программного обеспечения.

В настоящее время около половины продуктов в Реестре работает исключительно в среде Windows.

Для реализации инициативы потребуются изменения в постановления правительства № 1236 и № 325, которые регламентируют требования к включению ПО в Реестр. Минцифры уже занимается подготовкой соответствующих поправок совместно с ИТ-сообществом. Впервые подобные предложения выдвигались ещё в 2023 году, но тогда не были приняты.

«Нововведения, предусмотренные документом, простимулируют разработчиков повышать зрелость собственных продуктов и создадут условия для более активного перехода госсектора на российские технологические решения», — прокомментировали в ведомстве, не раскрыв деталей.

По словам исполнительного директора АРПП «Отечественный софт» Рената Лашина, принятие новых требований позволит провести аудит программ в Реестре и подтвердить уровень компетенций российских разработчиков. Проверку будет проводить НИИ «Восход» — сначала она коснётся операционных систем, затем остальных решений.

Технический директор «Инферит Облако» (входит в ГК Softline) Сергей Андриевский считает, что основной причиной корректировки требований стал дефицит ресурсов у большинства разработчиков и недостаток технической базы, необходимой для быстрой адаптации продуктов. По его прогнозу, из Реестра может быть исключено значительное количество позиций.

Как отметил председатель совета директоров компании «Базальт СПО» Алексей Смирнов, сейчас примерно половина программ в Реестре не имеет совместимости с российскими ОС. С такой оценкой согласны и другие эксперты. При этом, как уточняет заместитель генерального директора компании «Ред Софт» Рустам Рустамов, портирование программ на отечественные операционные системы — задача крайне трудоёмкая, порой сравнимая с разработкой продукта с нуля. Тем не менее, её выполнение считается необходимым.

Сайты большинства российских вузов уязвимы для кибератак

Читайте также