Многие российские компании используют устаревшее программное обеспечение

Сейчас.ру

23 июня 2017г.

Аналитики Positive Technologies выяснили, что контроль над критически важной информацией компаний, среди которых находятся банки, телекоммуникационные операторы и учреждения госорганов, могут получить злоумышленники с минимальными знаниями. Это объясняется тем, что компании используют устаревшее ПО, повышающее риск возникновения уязвимостей.

Как результат, в 20% случаев ИТ-системы структур содержат опасные уязвимости. Зачастую такие проблемы с программным обеспечением игнорируются долгие годы.

В ходе исследования выяснилось, что главные проблемы — уязвимости веб-приложений, использование словарных паролей, пишет «Ъ». Тем временем, в 2016 году объекты критической инфраструктуры подверглись семидесяти млн кибератак, сообщили в ФСБ.

По Вашему мнению, с чем связан высокий процент компаний, которые не обновляют ПО? Как их можно стимулировать делать ИТ-системы безопасными?

На вопрос издания Сейчас.ру отвечает Сергей Пожарненков, руководитель направления систем контроля доступа к информационным ресурсам (IAM), группа «Астерос».

Одной из фундаментальных причин, на мой взгляд, является общее состояние экономики. Ситуация меняется каждый день, и что будет дальше — никто не знает. И в таких сложно прогнозируемых условиях многим компаниям в буквальном смысле приходится выживать. Как следствие — происходит сокращение функций, которые не относятся к прямому зарабатыванию денег. Под этот «срез» попадают и ИТ в целом, и безопасность в частности, которые зачастую воспринимаются руководством бизнеса как обеспечивающие направления, некие «расходные статьи» бюджета.

Иногда подход «экономить на всем» может привести к масштабным последствиям, которые мы наблюдаем чуть ли не каждый день. Например, когда крупная финансовая организация экономит на том, чтобы развернуть «горячий» резерв основной банковской системы. Понятно, что в случае сбоя все банковские процессы могут встать на несколько дней, что в современных условиях уже грозит потерей бизнеса. То же самое — с вирусами-шифровальщиками. Для своевременного обновления конфигураций и их поддержки в актуальном состоянии нужно постоянно следить за выпуском обновлений и инициировать их, что опять же упирается в финансовые и человеческие ресурсы. И здесь вопрос не столько в повышении ИБ-грамотности топ-менеджмента и сотрудников корпораций, хотя это всегда дает положительный эффект, сколько — в управлении рисками. А это тоже процесс, который постоянно надо поддерживать.

Считаю, что разомкнуть этот «порочный круг» можно двумя способами. Первый — на законодательном уровне, как в случае с 152-ФЗ. При этом нужно иметь ввиду, что жесткие административные меры иногда оказываются не эффективны, при желании везде можно найти «лазейки». Второй и наиболее надежный вариант — создание условий для общего оздоровления экономики и повышения инвестиционной привлекательности ее субъектов. Приведу пример. До кризиса 2008 года, когда наша страна была интересна для иностранных инвесторов, в российских компаниях получали широкое распространение методологии CobiT и ITIL. Они как раз содержат рекомендации и примеры лучших практик по построению ИТ-процессов для основных функций бизнеса. В целом, соответствие международным нормам и требованиям, увеличивает шанс получить инвестиционные ресурсы. И такая стимуляция хорошо работает. Но, к сожалению, рецессия дала о себе знать, и большинство компаний перешло на ручное управление.

Возврат к списку