Информационные системы банков, телеком операторов, госорганов, промышленных компаний содержат критически опасные уязвимости, связанные с неправильной конфигурацией в 40% случаев. При этом в 20% компаний уязвимости связаны с несвоевременным обновлением ПО, а в 27% случаев наблюдаются ошибки в коде веб-приложений.
При этом информация о самой старой из обнаруженных уязвимостей, а также обновление, решающее проблему с ней, были опубликованы более 17 лет назад. «Уязвимость связана с тем, что DNS-сервер поддерживает рекурсию запросов. В результате эксплуатации данной уязвимости злоумышленник может проводить атаки на отказ в обслуживании»,— утверждают авторы отчета. Средний возраст наиболее устаревших неустановленных обновлений по системам, где такие уязвимости были обнаружены, составляет девять лет, следует из отчета,
В ходе тестов, проведенных Positive Technologies в 2016 году, выяснилось, что в 55% случаев внешний нарушитель, обладающий минимальными знаниями и довольно низкой квалификацией, способен преодолеть периметр и получить доступ к ресурсам в локальной сети компании. Для этого в среднем необходимо найти только две уязвимости в используемом компанией ПО.
«В 77% работ сетевой периметр удалось преодолеть из-за уязвимостей веб-приложений, а в 23% — из-за уязвимостей, связанных с использованием словарных паролей»,— рассказали в компании. В результате более чем в половине случаев от лица внешнего нарушителя удалось получить полный контроль над критически важными ресурсами компаний, такими как система Active Directory, СУБД, ERP-система и др.
В целом объекты критической инфраструктуры, к которой, согласно законопроекту, рассматриваемому Госдумой, предлагается отнести IT-системы банков, телеком-операторов и промышленных предприятий, в 2016 году подверглись 70 млн кибератак, сообщал в январе представитель ФСБ. При этом объем средств, похищенных хакерами только из российских банков, по данным Group-IB, составил за тот же период 5,53 млрд руб. В банке данных угроз безопасности информации, который с марта 2015 года ведет Федеральная служба по техническому и экспортному контролю, на данный момент находится информация о 16,5 тыс. уязвимостей в ПО, используемом при создании государственных IT-систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов.
Системное или прикладное ПО без необходимых обновлений стоит примерно в девяти из десяти компаний, уверен руководитель аналитического центра Zecurion Владимир Ульянов. «Причин для этого много. В некоторых компаниях боятся, что после обновления какой-то компонент откажется работать или начнет работать неправильно. Принцип “работает — не трожь” до сих пор одна из главных догм системных администраторов»,— поясняет господин Ульянов. Он добавляет, что большое количество оборудования, разнообразие используемых систем, территориально удаленные филиалы и устаревшие системы также приводят к тому, что какие-то компоненты не обслуживаются IT-специалистами должным образом.
Депутат Антон Ткачёв (фракция «Новые люди») предложил разработать и внедрить систему материальных поощрений для граждан, которые помогут выявить и привлечь к ответственности телефонных мошенников.
Как сообщает онлайн-издание «Первый технический», депутат направил соответствующее обращение министру внутренних дел Владимиру Колокольцеву.
В своей инициативе Ткачёв предлагает вознаграждать тех, кто сумеет обмануть мошенников, получив от них аванс за предполагаемое преступление.
Если сумма такого аванса составит не менее 50 тысяч рублей, гражданин, который избежал мошенничества, должен дополнительно получить 10 тысяч рублей.
В случае передачи сведений, способствующих задержанию злоумышленников, размер вознаграждения увеличится в 10 раз.
По мнению депутата, реализация этой инициативы сможет мотивировать граждан активнее участвовать в предотвращении преступлений, совершаемых телефонными мошенниками.
Согласно данным МВД России, около 40% всех преступлений совершается с использованием инфокоммуникационных технологий. Большая их часть связана с кражами и мошенничеством, однако значительную долю также занимает незаконный оборот наркотиков.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
