Анализ безопасности российских государственных ИТ-инфраструктур выявил ключевые уязвимости: слабая парольная политика и использование устаревшего программного обеспечения. По данным Solar JSOC (ГК «Солар»), в ходе тестирования более 200 объектов за последний год критические недостатки были обнаружены более чем в 60% исследованных систем.
Ключевые угрозы информационной безопасности
Эксперты выделили несколько проблемных зон, которые создают угрозу для безопасности государственных информационных систем:
- Слабые пароли и их предсказуемость
Треть исследованных организаций использует простые или стандартные пароли. Распространены такие комбинации, как password, user1, demo, а также последовательности чисел и пустые пароли, особенно в приложениях «1С». - Эксплуатация уязвимостей в устаревшем ПО
В списке программных продуктов с выявленными уязвимостями фигурируют Liferay, «1С-Битрикс», Pentaho, Microsoft Exchange, Avaya Aura, Jira и другие платформы. Отсутствие своевременных обновлений повышает риск атак, поскольку злоумышленники используют известные уязвимости для проникновения в системы. - Атаки через SQL-инъекции
Одним из наиболее распространенных методов взлома является внедрение вредоносного SQL-кода в запросы к базам данных. Это позволяет хакерам не только получить доступ к информации, но и выполнить произвольные команды на сервере. В среднем на преодоление внешнего контура защиты злоумышленникам требуется всего два шага.
Уязвимости мобильных приложений
Отдельное направление анализа касалось безопасности мобильных приложений, предназначенных для граждан. Выяснилось, что:
- 20% приложений имеют низкий уровень защиты.
- 72% уязвимостей выявлены в серверной части.
- Наиболее критичные риски связаны с контролем доступа, что позволяет злоумышленникам получить чужие данные, расширенные права в системе или выполнить несанкционированные действия.
Другие проблемы касаются раскрытия отладочной и конфигурационной информации, что упрощает анализ структуры приложения и его уязвимых компонентов.
Хотя клиентская часть приложений оказалась более защищенной, в 25% случаев данные пользователей сохранялись в незашифрованном виде на устройствах. Среди выявленной информации — ФИО, СНИЛС, даты рождения и другие персональные данные, которые оставались на устройстве даже после выхода из аккаунта или удаления приложения.
Итог
Результаты исследования подчеркивают необходимость усиления кибербезопасности в государственных системах, включая внедрение строгой политики паролей, своевременное обновление ПО и комплексные меры по защите мобильных сервисов.