Компания «Ростелеком-Солар» проанализировала данные о 40 госорганизациях, а также федеральных и региональных органах власти. Выяснилось, что 90% этих ресурсов смогут взломать не только продвинутые хакеры, но и обычные киберхулиганы с низким уровнем квалификации.

Самым простым способом заражения систем остается фишинговая рассылка. Так, в 70% госорганизаций по-прежнему нет специализированных средств для фильтрации входящей почты, а иногда и базовых инструментов вроде антиспама и антивируса. В связи с этим хакерам даже не нужно маскировать вредонос, а достаточно просто отправить файл. При этом соответствующее ПО распространяется бесплатно в даркнете.

Некоторые госструктуры, как выяснилось, используют системы с устаревшим кодом и протоколами шифрования. Они могут опираться на версии ОС, которые лишились поддержки более пяти лет назад.

Требование к госструктурам доступа со стороны клиентов ведет к тому, что такие системы часто связаны между разными ведомствами. При этом более 50% организаций используют незащищенное соединение (http), и передаваемые данные не шифруются.

Более 70% организаций оказались подвержены обычным уязвимостям, которые могут использоваться для входа в инфраструктуру. Это SQL-инъекции (позволяют взломать базу данных сайта и внести изменения в скрипт) и XSS (межсайтовый скриптинг).

Также более 60% организаций имеют уязвимости различных компонентов, в том числе серверов Apache, решений для запуска веб-приложений Apache Tomcat, систем управления сайтом WordPress, языка программирования PHP. У некоторых встречаются уязвимости самой операционной системы, в частности, Shellshock.

Уязвимости вызывает отсутствие обновлений серверов и рабочих станций в изолированных сегментах сети. Даже в кредитно-финансовой сфере такие обновления устанавливаются, в среднем, 42 дня. В госсекторе из-за наличия закрытых и изолированных сегментов без подключения к глобальной сети необходим ручной или полуручной процесс по обновлению, но он отсутствует в 96% организаций.

Неправильная конфигурация служб обновления более 90% рабочих станций и серверов в госсекторе дает ошибки в реализации протокола удалённого рабочего стола, а более 70% — ошибки в реализации протокола удалённого доступа к сетевым ресурсам.

Профессиональные киберпреступники для получения длительного контроля над инфраструктурой используют в первую очередь уязвимости процессов. При этом в 90% госорганизаций есть от 3 до 10 точек связанности публичного и закрытого сегментов. Это происходит из-за того, что при внедрении новой информационной системы редко проводится анализ состояния текущей инфраструктуры. Лишние точки входа в систему могут возникнуть через VPN из соседнего федерального органа исполнительной власти. В 80% случаев происходит «склеивание» различных сегментов сети для обеспечения работоспособности новой системы, и доступ к слабо защищенному элементу дает ключ к критическим информационным активам.

Иногда хакеры проникают в инфраструктуру через слабозащищенного контрагента. В некоторых случаях сотрудники подрядных компаний выступают админами с высоким уровнем прав и привилегий, и их учетки остаются активными даже после завершения контракта.

Отчет показывает, что более 90% рабочих станций и серверов уязвимы перед BlueKeep и DejaBlue, которые позволяют мгновенно распространить вируса-червя или шифровальщика через ошибки в реализации протокола удаленного рабочего стола RDP.

Более 70% рабочих станций и серверов уязвимы перед EternalBlue, который эксплуатирует ошибки Windows-реализации протокола SMB для удаленного доступа к файлам и другим сетевым ресурсам.

В каждой организации обнаружено минимум пять рабочих станций, которые уязвимы перед MS08-067. Ошибка позволяет удаленно выполнить произвольный код в контексте службы «Server», и она была устранена в обновлениях более 12 лет назад. 55% госорганизаций оказались поражены червем Conficker, эксплуатирующим уязвимость MS08-067, признаки Wannaсry были обнаружены у 60% организаций. 85% IT-систем госструктур заражены вирусами DbgBot, Mirai, Monero Mine, а 90% имеют признаки вредоносного ПО, переносимого через внешние носители.

Более раннее исследование специалистов Общественного движения «Информация для всех» показало, что сайты российских федеральных органов власти слабо защищаются от XSS-уязвимостей: 59% из них передают данные о посетителях ресурсам, которые контролируются иностранными организациями.