Свыше 1,2 тысячи нарушений было выявлено по итогам проверки 700 значимых объектов критической информационной инфраструктуры (КИИ), минимальный уровень киберзащиты достигнут лишь у 36% организаций (субъектов КИИ), следует из доклада ФСТЭК России на национальном форуме по кибербезопасности «Инфофорум 2026», пишет «Коммерсант».
Напомним, по итогам 2024 года ФСТЭК сообщала, что на минимально допустимом уровне защищённости находятся 13% проверенных службой организаций.
Как следует из доклада этого года, по итогам контрольных мероприятий ФСТЭК также направила более двух тысяч требований о выполнении законодательства и составила 603 протокола об административных правонарушениях (111 дел по статье о нарушении установленного порядка защиты КИИ, 492 дела — по статье о непредставлении или несвоевременном представлении сведений во ФСТЭК).
В докладе описано восемь основных причин нарушений. Среди них – недостаточная информированность ИБ-специалистов о процессах создания, эксплуатации и совершенствования систем; возложение функций по обеспечению безопасности значимых объектов КИИ только на подразделения информационной безопасности (хотя к этому процессу должны быть причастны все участники создания и эксплуатации систем); несоответствие сведений о включаемом в реестр объекте его фактическому состоянию; отсутствие централизованного управления средствами защиты при их большом количестве и нехватке специалистов; периодический, а не постоянный мониторинг защищённости; хранение резервных копий в одной среде с основными производственными системами, что ставит под угрозу возможность восстановления после атаки.
Значимые объекты КИИ — это информационные системы, сети и АСУ в ключевых сферах (здравоохранение, энергетика, финансы и т.д.), которым присвоена одна из категорий значимости (I, II, III) в соответствии с 187-ФЗ, что обязывает их владельцев применять усиленные меры защиты и отчётность перед регуляторами, чтобы предотвратить ущерб жизни людей, экономике и безопасности страны.
