По оценке ФСТЭК, у 47% из 170 организаций, относящихся к КИИ, состояние защиты от киберугроз находится в критическом состоянии. Еще у 40% организаций — низкий уровень защищенности, и только у 13% установлен минимальный базовый уровень защиты.

В службе отмечают, что у 100 работающих государственных информационных систем найдено 1,2 тыс. уязвимостей, большая часть из которых высокого и критического уровня опасности. По словам заместителя директора ФСТЭК Виталия Лютикова, «некоторые уязвимости известны регулятору уже несколько лет». Также он назвал типовыми недостатками в защите КИИ, среди прочего, отсутствие двухфакторной аутентификации и критические уязвимости на периметре ИТ-инфраструктур.

В Positive Technologies рассказали, что «в компаниях сохраняются уязвимости, которые не устраняются на протяжении нескольких лет. Являясь приманкой для злоумышленников, они позволяют хакерам найти брешь в защите компании, закрепиться и не выдавать себя на протяжении нескольких лет, планируя кибератаку».

Руководитель центра компетенций Innostage Виктор Александров считает, что у «государственных информационных систем, у их владельцев часто отсутствует четко выстроенный процесс работы с уязвимостями: методика их обнаружения и устранения, понимание о периодичности проверки».