В блог
Статьи
17/04/2026
Аудит ИБ показал 60% уязвимостей: что бизнес игнорирует годами
Анна Толмачева
Консультант по ИБ в "КИТ"
В профессиональной среде информационной безопасности (далее — ИБ) давно нет иллюзий: проблема уязвимостей − не в отсутствии технологий, а в системных управленческих решениях. Когда по итогам аудита фиксируется, что «60% инфраструктуры уязвимо», это не аномалия, а ожидаемый результат. Более того, реальная картина зачастую хуже.
По данным исследований, более 60% компаний могут быть взломаны в течение суток при целевой атаке (Interfax.ru). В других проектах по тестированию на проникновение цифры еще жестче: 79% внутренних инфраструктур уязвимы для полного захвата, а в 62% случаев обнаруженные уязвимости имеют высокий уровень риска (РБК Компании). При этом в ряде исследований до 96% организаций демонстрируют критические недостатки защиты, позволяющие злоумышленнику получить контроль над системами (CFO Россия).
Эти цифры не противоречат друг другу — они описывают одну и ту же системную проблему: бизнес годами игнорирует базовые вещи, несмотря на инвестиции и рост осведомленности персонала о кибербезопасности.
Важно понимать: в российской практике ИБ − это не только техническая дисциплина, но и регулируемая область права.
Ключевые нормативные акты:
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» задает базовые принципы защиты информации и обязанности операторов информационных систем (далее - ИС).
  • Федеральный закон от 27.07.2026 № 152-ФЗ «О персональных данных» устанавливает требования к обработке и защите персональных данных, включая меры защиты, уровни защищенности и ответственность оператора.
  • Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры, вводит обязательную категоризацию объектов и реагирование на инциденты.
  • Подзаконные акты ФСТЭК России и ФСБ России конкретизируют требования и фактически формируют практическую модель защиты информации.
С точки зрения уполномоченных органов, наличие уязвимостей само по себе не является нарушением. Нарушением становится непринятие мер по их устранению в рамках установленных требований и модели угроз.
1. 60% уязвимостей − это не про технологии, а про приоритеты.
Если разложить типовой отчет аудита, становится очевидно: подавляющее большинство критичных проблем не связано со «сложными атаками». Это либо неправильная конфигурация, либо устаревшие подходы к управлению доступом.
Показательно, что в 63% кейсов внешнего проникновения достаточно низкой квалификации злоумышленника (CFO Россия). Это означает, что речь идет не об уязвимостях нулевого дня (zero-day) или сложных целевых атаках (APT), а о базовых ошибках в виде, например, слабой аутентификации, избыточных прав или открытых сервисов.
С точки зрения аналитики ИБ это ключевой вывод: 60% уязвимостей — это не «дыры», это организационный долг.
2. Внутренний периметр − главный слепой участок.
Практически все современные исследования сходятся в одном: бизнес продолжает защищать внешний периметр, игнорируя внутренний.
Статистика показывает:
  • в 79% компаний возможен полный захват внутренней инфраструктуры (РБК Компании);
  • при этом на внешнем периметре доля критических уязвимостей вдвое ниже.
Это классическая ошибка архитектуры: компании исходят из предположения «внутри безопасно». На практике же большинство атак развиваются после первичного проникновения − через учетные записи, сетевые доверия и слабую сегментацию. И именно здесь концентрируются наиболее опасные уязвимости.
3. Иллюзия зрелости: инвестиции растут, риски – тоже.
Интересный парадокс: бизнес начал больше инвестировать в ИБ, но уровень уязвимостей не снижается.
  • 83% компаний увеличили расходы на кибербезопасность;
  • 64% изменили отношение к ИБ после 2022 года (ComNews).
Однако:
  • рост атак продолжается;
  • количество успешных компрометаций не падает;
  • средний уровень защищенности остается низким.
Причина в неправильном распределении инвестиций: инструменты внедряются быстрее, чем выстраиваются процессы управления рисками и уязвимостями.
4. Уязвимости как накопленный технический долг.
Если смотреть на данные пентестов и аудитов в динамике, становится очевидно: уязвимости редко возникают внезапно. Они накапливаются. Например, в среднем на одну компанию приходится десятки уязвимостей, многие из которых не закрываются годами (Habr). При этом:
  • более 68% инцидентов связаны с ошибками пользователей;
  • до 71% компаний признают уязвимость к внутренним угрозам (Habr).
Это подтверждает системный характер проблемы: уязвимости — это следствие процессов, а не отдельных ошибок.
Так почему же бизнес игнорирует очевидное?
С практической точки зрения можно выделить несколько причин, почему одни и те же проблемы выявляются на аудите из года в год.
  • Отсутствие связи ИБ с бизнес-рисками. Пока уязвимость не приводит к инциденту, она не воспринимается как угроза.
  • Фокус на внешнем аудите, а не на устранении. Аудит воспринимается как формальность, а не как инструмент изменений.
  • Конфликт между удобством и безопасностью. Избыточные права и слабые политики доступа часто осознанно сохраняются.
  • Отсутствие ответственности за риск. ИБ фиксирует проблему, но не управляет ее устранением.
Главный вывод: проблема не в количестве уязвимостей.
Когда аудит показывает «60% уязвимостей», это не показатель плохой ИТ-команды. Это индикатор зрелости управления.
С практической точки зрения важны не сами уязвимости, а три фактора:
  • время их существования;
  • контекст (где они находятся);
  • возможность цепочки эксплуатации.
Именно поэтому в 60−80% случаев пентест заканчивается полной компрометацией инфраструктуры − не из-за одной критической ошибки, а из-за их комбинации. Современная статистика однозначна: уязвимости − это норма, но их массовость − результат управленческих решений. Главная проблема бизнеса не в том, что у него есть уязвимости. А в том, что он годами знает о них и ничего не меняет.
Если смотреть на проблему не как на набор уязвимостей, а как на управленческую модель, становится очевидно: большинство компаний не управляют безопасностью − они фиксируют ее состояние. Аудиты, сканирования и пентесты превращаются в инструмент наблюдения, а не изменения.
Первое, что необходимо изменить, — это подход к оценке уязвимостей. Пока они воспринимаются как технические дефекты с абстрактными баллами критичности, они не становятся приоритетом для бизнеса. В реальности значение имеет не оценка критичности уязвимости (CVSS), а то, к каким последствиям может привести конкретная цепочка эксплуатации: простой сервиса, компрометация данных, нарушение требований законодательства. Только в этой логике уязвимости начинают конкурировать за ресурсы наравне с другими бизнес-рисками.
Второй системный сдвиг связан с управлением уязвимостями как процессом. В большинстве организаций он либо отсутствует, либо сводится к нерегулярным сканированиям. При этом ключевая характеристика риска − не количество уязвимостей, а время их существования в инфраструктуре. Если критичная уязвимость сохраняется месяцами или годами, это уже не техническая проблема, а управленческий дефект: отсутствуют приоритизация, контроль сроков и ответственность за устранение.
Отдельного внимания требует модель управления доступом. Практика аудитов показывает, что значительная часть критичных сценариев компрометации строится не на сложных атаках, а на комбинации избыточных прав и доверительных связей внутри инфраструктуры. Это означает, что вопрос минимизации привилегий, сегментации доступа и контроля привилегированных учетных записей имеет более высокий приоритет, чем внедрение дополнительных средств защиты.
Тот же вывод применим к архитектуре в целом. Подход, при котором внутренняя сеть априори считается доверенной, больше не работает. Большинство современных атак развиваются уже после первичного проникновения, используя горизонтальное перемещение и накопление прав. Поэтому переход к моделям, в которых каждое взаимодействие требует проверки и не предполагает доверия по умолчанию, становится не «лучшей практикой», а необходимостью.
Отдельная проблема — формализация требований. На практике соответствие требованиям федеральных законов и подзаконных актов часто достигается на уровне документации, но не на уровне реальной реализации мер. Это создает иллюзию защищенности: формально требования выполнены, фактически − ключевые механизмы либо не работают, либо обходятся. Именно в этом разрыве между комплаенсом и реальной безопасностью и формируется значительная часть уязвимостей, выявляемых при аудитах.
Наконец, критическим фактором остается распределение ответственности. Во многих организациях функции ИБ ограничиваются выявлением и фиксацией рисков, тогда как устранение зависит от информационных технологий или бизнеса и не имеет жесткой приоритизации. В результате уязвимости становятся «ничьими» и продолжают существовать в системе. Пока у риска нет владельца, а у устранения − контролируемых сроков, сама модель управления остается неработоспособной.
В этом контексте ключевой вопрос − не в том, сколько уязвимостей обнаружено, а в том, как быстро и последовательно организация способна их устранять. Именно это различает компании, которые можно скомпрометировать за сутки, и те, которые способны выдерживать целевые атаки.