ФСТЭК России насчитала более тысячи уязвимостей в государственных системах

Яков Шпунт 13 Февраля 2025 - 10:40

...

ФСТЭК России насчитала более тысячи уязвимостей в государственных системах

Согласно данным Федеральной службы по экспортному и техническому контролю России (ФСТЭК), в государственных информационных системах обнаружено около 1200 уязвимостей, большинство из которых имеют критический или высокий уровень опасности.

Об этом сообщил заместитель директора ФСТЭК Виталий Лютиков, выступая на «ТБ Форуме».

По данным ведомства, почти половина (47%) объектов критической информационной инфраструктуры (КИИ) — включая банки, операторов связи и промышленные предприятия — находятся в критическом состоянии с точки зрения киберзащиты. Еще у 40% уровень защищенности остается низким, и лишь 13% соответствуют минимально приемлемым требованиям безопасности.

Заместитель главы регулятора также отметил, что в 100 государственных информационных системах выявлены уязвимости, известные ФСТЭК уже несколько лет. Среди ключевых проблем он назвал отсутствие многофакторной аутентификации и наличие критических уязвимостей в системах периметровой защиты.

Лидер практики управления уязвимостями Positive Technologies Олег Кочетов в комментарии для «Коммерсанта» подчеркнул:

«Во многих компаниях уязвимости остаются неустраненными годами. Эти слабые места привлекают злоумышленников, позволяя им проникнуть в систему, закрепиться в ней и незаметно готовить кибератаку».

Однако полностью устранить все уязвимости в короткие сроки практически невозможно, поэтому ключевым фактором остается их грамотная приоритизация.

«Сломанный замок на входной двери — это уязвимость, но она не гарантирует взлом и кражу: доступ в подъезд может быть ограничен, а вахтер — контролировать вход. Конечно, замок следует починить, но не всегда срочно», — привел аналогию заместитель генерального директора группы компаний «Гарда» Рустэм Хайретдинов.

По его словам, устранение уязвимостей требует технологического окна, то есть полной остановки системы, что в условиях круглосуточного сервиса зачастую затруднительно. При этом установка всех обновлений одновременно также неэффективна.

В то же время руководитель центра компетенций Innostage Виктор Александров отметил, что в государственных информационных системах нередко отсутствуют выстроенные процессы управления уязвимостями, методики их выявления и регулярные проверки.

Вчера мы также писали, что ФСТЭК России подготовила новый свод требований по защите информации, который вступит в силу в марте 2026 года. Документ охватывает государственные информационные системы, а также системы других государственных органов, унитарных предприятий и учреждений.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Апреля 2026 - 19:27

Корпорации Системы управления доступом (IdM/IAM) Компания Индид

Indeed AM 9.4 получил новые сценарии аутентификации

Компания «Индид» выпустила новую версию системы управления доступом и многофакторной аутентификации Indeed Access Manager 9.4. В релизе сделали упор на три вещи: новые сценарии входа, более гибкие настройки доступа и упрощение внедрения в уже существующую ИТ-инфраструктуру.

Одно из заметных изменений — расширение списка поддерживаемых каталогов пользователей. В новой версии добавлена работа с ALD Pro, Samba DC, РЕД АДМ и FreeIPA.

Это важно прежде всего для компаний, которые строят инфраструктуру на разных платформах и хотят обойтись без лишних доработок при интеграции системы управления доступом.

Отдельно доработали модуль Identity Provider. Теперь в нём можно настраивать политики доступа не только в целом, но и на уровне отдельных бизнес-приложений. Проще говоря, правила аутентификации можно делать более точечными, в зависимости от конкретного сервиса. Там же появился сценарий смены доменного пароля при входе — он пригодится в случаях, когда у пользователя нет прямого доступа к доменной рабочей станции.

Изменения затронули и вход в систему на рабочих местах. В модуле Linux Logon появилась поддержка многофакторной аутентификации с использованием RFID-карт и считывателя IronLogic Z-2 USB, а также работа через балансировщик нагрузки. В Windows Logon добавили кеширование учётных данных, чтобы пользователь мог войти в систему даже без подключения к сети. Плюс там тоже появилась поддержка аутентификации по RFID-картам.

Ещё один блок обновлений связан с развертыванием системы. В Indeed AM 9.4 расширили возможности мастера конфигурации: теперь через него можно устанавливать компоненты сразу на несколько физических или виртуальных серверов, причём для каждого узла формируется отдельный набор настроек. Это должно сократить объём ручной конфигурации при внедрении и обновлении.

Через тот же мастер теперь можно разворачивать и Indeed Key Server. Этот компонент используется для аутентификации с помощью пуш-уведомлений и одноразовых паролей, а его установка в новой версии вынесена в более понятный сценарий.

Наконец, в системе появился новый вариант подтверждения входа — через мессенджер eXpress. Для этого добавлен отдельный провайдер Indeed AM eXpress Provider, который позволяет использовать пуш-уведомления в мессенджере для входа в корпоративные приложения.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!