Угроза нулевого дня, а поборов не оберешься
Ежегодная итоговая пресс-конференция Positive Technologies. Руководитель группы координированного раскрытия уязвимостей АО "Позитив Технолоджиз" (Positive Technologies) Диана Абдурахманова (фото ComNews).
Об этом сообщила руководитель группы координированного раскрытия уязвимостей АО "Позитив Технолоджиз" (Positive Technologies) Диана Абдурахманова. Она представила статистику исследования. По ее словам, в 2025 г. исследователи безопасности компании обнаружили около 450 уязвимостей нулевого дня (это ошибка или пробел в защите программного обеспечения, о которой разработчики еще не знают и не могут ее устранить) в оборудовании и программном обеспечении отечественных и зарубежных поставщиков, включая глобальных мировых лидеров. Это значение вчетверо превышает показатель прошлого года (114 недостатков).
Такой разрыв объясняется не только ростом количества уязвимостей, но и смещением исследовательского фокуса на еще более активный поиск уязвимостей.
Диана Абдурахманова отметила, что примерно одна десятая часть уязвимостей (9%) представляет критическую опасность. "Большинство из них связано с промышленными системами и автоматизированными системами управления технологическим процессом. (АСУ ТП - 67%). Часто встречаются ошибки, такие как сброс кода без проверки целостности и неправильная настройка систем. Также на российском рынке количество уязвимостей в отечественном ПО выросло почти в три раза и достигло 30%", - сказала Диана Абдурахманова.
Руководитель развития бизнеса программного обеспечения Solar appScreener Владимир Высоцкий объяснил рост уязвимостей в отечественном ПО. Он рассказал, почему в 2024 г. проблема усугубилась: "Количество уязвимостей в открытом коде увеличилось на 98%. При этом количество библиотек Open Sourse - всего на 25%. Таким образом, количество угроз растет в четыре раза быстрее, чем объем компонентов открытого кода. В разработке критичных ИТ-систем, включая решения с обработкой персональных данных, финансовые сервисы и продукты в рамках импортозамещения, принимают участие несколько подрядчиков".
Как отметил Владимир Высоцкий, в результате контроль за безопасностью кода на всем протяжении цепочки поставки стал важным и актуальным вопросом для софтверной индустрии: "Таким образом сформировался устойчивый тренд: с одной стороны, растет скорость разработки, с другой - качество управления open-source-зависимостями остается на очень низком уровне".
Архитектор информационной безопасности ООО "Юзергейт" (UserGate) Дмитрий Овчинников говорит, что статистика по уязвимостям в АСУ ТП достаточно закрыта, кроме того, не всегда можно точно определить, с чем мог быть связан взлом, проводимый на киберполигоне: "Уязвимость в устройстве или неправильная конфигурация. Поэтому сказать про какой-то значительный рост не представляется возможным, так как многие контроллеры АСУ ТП просто не имеют в функционале необходимых мер по защите. В реальном мире от аварий и диверсий вследствие атаки на АСУ ТП спасает то, что подобные участки сети зачастую бывают расположены в физически изолированных сегментах без доступа в интернет и поэтому многие угрозы для них просто невозможно реализовать извне".
Начальник отдела информационной безопасности "ООО "Корус Консалтинг ВМ" (компания Mons входит в ГК " Корус Консалтинг") Татьяна Белоусова отметила рост выявленных уязвимостей в системах АСУ ТП промышленных предприятий в этом году: "Это связано с несколькими факторами. Во-первых, продолжается активная автоматизация российских промышленных компаний. Внедряется все больше АСУ ТП. Хакеры стали чаще атаковать автоматизированные системы управления производством, исследователи стали активнее изучать системы и их компоненты. Во-вторых, ряд компаний продолжает использовать иностранное ПО, в этом случае системы не обновляются и становятся более уязвимыми. Кроме того, на рынок выходят новые российские системы, которые требуют обкатки и последующего выявления слабых мест. Я считаю, что данные тренды продолжат развитие и в 2026 г."
Инженер по информационной безопасности департамента промышленной автоматизации ООО "Рексофт" Александр Осмехин считает иначе и не заметил роста уязвимостей в проектах АСУ ТП: "Обычно инциденты информационной безопасности связаны с техническими и организационными факторами. Например, несвоевременное обновление ПО или неправильная конфигурация сети могут создать проблемы. С точки зрения технологического процесса система может работать нормально, но с точки зрения информационной безопасности могут возникнуть вопросы. Переход на отечественное ПО в рамках импортозамещения требует соблюдения жестких сроков и несет большую ответственность. Отечественные производители не всегда могут уделить этому вопросу достаточно внимания из-за множества факторов".
Представитель пресс-службы ООО "Труконф" отметил, что разработчикам уже недостаточно внутреннего анализа, тестирования и аудитора кода в процессе разработки: "Чтобы сделать продукт по-настоящему защищенным, нужно объединять усилия с известными ИБ-экспертами и пентестерами и своевременно устранять угрозы - до того, как информация о них станет публичной. При этом такая работа должна быть прозрачной, а ее результаты - доступны для пользователей ПО в БДУ ФСТЭК (единый отечественный ресурс, содержащий сведения об уязвимостях программного и программно-аппаратного обеспечения, а также перечень и описание угроз безопасности информации для информационных систем различного назначения)".
Руководитель управления анализа защищенности ООО "Бизон" (Bi.Zone) Михаил Сидорук дал прогноз по состоянию надежности в сфере информационной безопасности на 2026 г.: "Мы прогнозируем рост выявляемых уязвимостей в 2026 г. Это связано не только с усложнением цифровых систем, но и с широким внедрением аналитических инструментов на базе искусственного интеллекта (ИИ), которые значительно углубляют анализ и повышают его скорость. ИИ помогает находить дефекты в коде, прошивках и конфигурациях быстрее традиционных методов, а также участвует в создании программного обеспечения, где автоматически генерируемый код не всегда соответствует стандартам безопасной разработки. Этот фактор нужно учитывать при управлении рисками".
Управлению уязвимостями будет посвящена сессия в рамках форума "", 2 апреля 2026 г. в Москве. Эксперты поделятся практическим опытом, как своевременно выявлять и нейтрализовать угрозы и какие инструменты и подходы позволяют минимизировать риски в современных реалиях.
