60% российских компаний имеют критические уязвимости: хакеры могут захватить корпоративную инфраструктуру

Бизнес под угрозой кибератак в мире уязвимостей

Исследование, проведенное экспертами "МегаФона" на основе данных пентестов за 2025 год, показало, что подавляющее большинство российских организаций сталкивается с серьезными уязвимостями в своих информационных системах, классифицированными как критические или высокие.

Согласно результатам анализа, у 60% компаний были обнаружены уязвимости, отнесенные к высоким или критическим категориям. К высоким уязвимостям относятся:

• Недостатки в системах аутентификации, позволяющие обойти защитные меры.
• Проблемы в веб-приложениях, создающие риск утечки важной информации.
• Ошибки в настройках сетевых сервисов, открывающие дополнительные возможности для кибератак.

Критические уязвимости могут привести к полному перехвату контроля над доменными контроллерами, что фактически предоставляет неограниченный доступ ко всей корпоративной инфраструктуре, а также к несанкционированному получению конфиденциальных данных.

Уязвимости среднего уровня были выявлены в 36% случаев. Такие недочеты не позволяют получить полный контроль над системой, но могут быть использованы для развития атаки и компрометации других, более защищенных частей инфраструктуры. Только 4% проверенных компаний не имели серьезных проблем с безопасностью.

Пентестирование охватило организации из различных секторов экономики:

• 60% участников представляли электроэнергетическую, ИТ-отрасль и промышленность.
• 20% компаний относились к финансовому сектору.
• По 8% пришлось на предприятия из сферы недвижимости, рекламного и медийного бизнеса, а также розничной торговли.

Пентест - это безопасный метод проверки защищенности информационных систем компании, который имитирует действия злоумышленников. В ходе такого тестирования специалисты проверяют:

• Внешние и внутренние сети.
• Веб-приложения и мобильные сервисы.
• Устойчивость к попыткам социальной инженерии.
• Системы аутентификации.

После завершения проверки организация получает детальный отчет с описанием всех обнаруженных уязвимостей и конкретными рекомендациями по их устранению и предотвращению.

Среди различных видов пентестов наиболее востребованным является внешнее тестирование. С начала текущего года его популярность выросла на 48% по сравнению со всем 2024 годом. На втором месте по запросам находятся проекты, связанные с комплаенсом, которые подразумевают анализ соответствия систем требованиям регуляторов, отраслевым стандартам и внутренним документам. Количество таких проектов увеличилось на 75% за тот же период.

Услуга по расследованию уже произошедших инцидентов продемонстрировала самый значительный рост - более чем на 100%. Однако, несмотря на такой прирост, подобные работы составляют лишь 4% от общего объема всех проводимых пентестов.

Спрос на пентесты ежегодно увеличивается примерно на 30%, и в настоящее время рынок достиг рекордных показателей. Специалисты прогнозируют двукратное увеличение числа пентестов к концу 2025 года относительно предыдущего. Это объясняется ростом числа кибератак, в том числе с использованием новых угроз и методов, а также ужесточением регуляторных требований, включая введение новых стандартов и повышение ответственности.

"Результаты нашего исследования показывают, что только 32% протестированных компаний обладают высоким уровнем защиты от кибератак. Еще 23% имеют средний уровень защищённости, а оставшиеся 45% - низкий. Проведение пентестов - лишь первый шаг к построению эффективной системы кибербезопасности. Анализируя результаты такого комплексного тестирования, компания может определить слабые места в своей инфраструктуре и понять, как правильно выстраивать защиту", - говорит директор по развитию корпоративного бизнеса МегаФона Наталья Талдыкина.