Информационная безопасность в цифрах

Специалистами по информационной безопасности были проверены свыше пятидесяти организаций на наличие уязвимостей в их информационных системах. Анализу были подвержены такие отрасли как ритейл, финансовые организации, государственные и бюджетные учреждения, операторы связи.

Тесты на проникновение показали следующие результаты: двадцать процентов клиентов внешнего периметра имеют более или менее серьезные уязвимости и дыры. С внутренним периметром дела обстоят хуже. Многие компьютеры используют старое программное обеспечение, которое или просто не обновляется, или же поддержка программных продуктов прекращена. Проблема заключается в том, что уровень подготовки специалистов по информационной безопасности, ответственных за защиту персональных данных и информации, является крайне низким, что играет на руку злоумышленникам, планирующим получить доступ к ресурсам компании.

По словам специалистов, руководство многих организаций попросту не выделяет денежные средства на обучение своих сотрудников, а также на модернизацию информационной структуры предприятия. Современные хакеры очень изобретательны в своих атаках и используют не только зловредные программные средств, но и прибегают к методам социальной инженерии.

Что касается уязвимостей публичных веб-приложений, самыми распространенными угрозами здесь являются Cross-Site Scripting (межсайтовый скриптинг). Данный тип уязвимости встречался в 38% проанализированных приложений, то есть практически в каждом третьем сайте. Вторыми по популярности стали уязвимости типа Using Components with Known Vulnerabilities (использование компонентов с известными уязвимостями) и Security Misconfiguration (небезопасная конфигурация веб-приложения или его окружения), которые были выявлены у 25% клиентов. Наименее распространенной оказалась уязвимость Broken Authentication and Session management (небезопасное использование данных сеанса при работе с веб-приложением), которая обнаружилась у 19% клиентов.