По итогам 170 проверок, проведенных Федеральной службой по техническому и экспортному контролю (ФСТЭК) в 2024 году, базовый уровень защищенности критической информационной инфраструктуры (КИИ) был достигнут лишь у 13% организаций. Такие данные привел заместитель начальника отдела 9-го управления ФСТЭК Андрей Булгаков в ходе выступления на форуме «Инфофорум-2025».

Булгаков подчеркнул, что этот показатель вызывает серьезную обеспокоенность, так как свидетельствует о недостаточном уровне готовности организаций к киберугрозам.

Согласно презентации Булгакова, в 40% случаев проверки выявили низкий уровень защищенности, а в 47% — критический. Это означает, что подавляющее большинство объектов КИИ не соответствуют даже минимальным требованиям информационной безопасности. Эксперт отметил, что такая ситуация создает значительные риски для национальной безопасности и устойчивости критически важных систем.

Булгаков также выделил пять ключевых недостатков, которые чаще всего приводят к низкому или критическому уровню защищенности:

1. Отсутствие многофакторной аутентификации для аккаунтов привилегированных пользователей. Это делает системы уязвимыми для несанкционированного доступа.

2. Неустраненные критические уязвимости в IT-инфраструктуре, как на периметре, так и внутри сетей организаций.

3. Отсутствие регламента реагирования на инциденты, что затрудняет оперативное устранение последствий кибератак.

4. Недостаточный сбор и анализ данных о событиях безопасности, что не позволяет своевременно выявлять угрозы.

5. Отсутствие четкого распределения ответственности за информационную безопасность. В некоторых организациях эти функции до сих пор не закреплены за заместителями руководителей.