IT-системы российских промышленных компаний, госструктур, банков и телекоммуникационных операторов в 20% случаев содержат критически опасные уязвимости, связанные с необновленным ПО, показало исследование Positive Technologies за 2016 год, сообщает «Коммерсант».
В 40% случаев IT-системы содержат критически опасные уязвимости, связанные с недостатками конфигурации, 27% систем обладают критически опасными уязвимостями, связанными с ошибками в коде веб-приложений.
При этом информация о самой старой из обнаруженных уязвимостей, а также обновление, решающее проблему с ней, были опубликованы более 17 лет назад. Средний возраст наиболее устаревших неустановленных обновлений по системам, где такие уязвимости были обнаружены, составляет девять лет, следует из отчета.
В ходе тестов, проведенных Positive Technologies в 2016 году, выяснилось, что в 55% случаев внешний нарушитель, обладающий минимальными знаниями и довольно низкой квалификацией, способен преодолеть периметр и получить доступ к ресурсам в локальной сети компании. Для этого в среднем необходимо найти только две уязвимости в используемом компанией ПО.
В 77% работ сетевой периметр удалось преодолеть из-за уязвимостей веб-приложений, а в 23% — из-за уязвимостей, связанных с использованием словарных паролей.
Напомним, в Госдуме сейчас рассматривается пакет законопроектов, направленных на обеспечение безопасности критической информационной инфраструктуры РФ. Согласно документам, к критической информационной инфраструктуре предлагается отнести IT-системы банков, телеком-операторов и промышленных предприятий.
Как писал D-Russia.ru, проблема необновляющегося ПО актуальна и в США — большинство федеральных агентств работают с устаревшим софтом и «железом» — возраст некоторых из систем превышает 50 лет. Например, министерство обороны пользуется дискетами – они используются в системах, координирующих функционирование ядерных сил страны.
