В Совете Федерации прошло заседание, посвященное критическим уязвимостям в российской ИТ-инфраструктуре и отечественном программном обеспечении. Эксперты и представители ведомств обсудили риски, связанные с использованием непроверенного кода и отсутствием ответственности разработчиков за безопасность продуктов.

Представитель Генеральной прокуратуры Олег Китаев сообщил, что в российском сегменте сети функционируют более 70 миллионов сервисов. Примерно половина из них имеет как минимум одну ошибку в настройках безопасности, что позволяет организовывать атаки, целью которых может стать критическая информационная инфраструктура (КИИ). По данным Министерства цифрового развития, за последние три года в объектах КИИ выявили около 5000 уязвимостей различной степени значимости.

Отраслевые аналитики зафиксировали наибольшее число инцидентов в государственном управлении, медицинских и образовательных учреждениях. В то время как Минцифры отмечает прогресс и наличие чётких планов по защите КИИ, состояние остальной ИТ-инфраструктуры вызывает у участников заседания многочисленные вопросы.

Представитель Центрального банка Андрей Савельев раскрыл статистику киберугроз в финансовом секторе за 2025 год. Треть всех атак на банки составили DDoS-нападения, 13% пришлось на использование вредоносного программного обеспечения, а 5% — на фишинг. Остальные случаи представляли собой комбинации указанных методов.

Среди чисто компьютерных инцидентов 38% связаны с заражением вредоносным ПО. При этом 14% взломов систем произошли из-за ошибок подрядчиков, поставщиков оборудования и разработчиков программного обеспечения. Эксперты связали проблемы безопасности с промахами, допущенными ещё на этапе разработки продуктов.

Участники обсуждения подчеркнули, что импортозамещение в ИТ-сфере не гарантирует автоматического повышения безопасности. По мнению экспертов, отечественные разработчики зачастую используют в своих программах скомпрометированные или непроверенные элементы кода из публичных источников. В дальнейшем компании проявляют мало интереса к сопровождению и обновлению своих продуктов после продажи.

В результате программное обеспечение содержит уязвимости, которые не устраняются до момента выявления инцидента или другого критического случая. Специалисты отметили необходимость изменения подхода разработчиков к созданию софта, который на данный момент остается слишком уязвимым для внешних угроз.

Для повышения защищенности систем Генеральная прокуратура предложила рассмотреть вопрос о введении ответственности для руководителей, которые не принимают меры по устранению известных уязвимостей. Параллельно с этим Министерство цифрового развития формирует государственный реестр «доверенного софта».

Секция обеспечения технологического суверенитета и информационной безопасности Совета по развитию цифровой экономики при СФ по итогам заседания занялась выработкой рекомендаций и возможно, законодательных инициатив. Члены совета сосредоточились на мерах по снижению количества ошибок в публично доступной инфраструктуре.