Большинство предприятий российского бизнеса оказались подвержены серьезным рискам из-за наличия значительных уязвимостей в собственных информационных системах. К такому выводу пришли эксперты МегаФона, основываясь на результатах проведенных ими тестов информационной защиты (пентестов) в течение 2025 года.
Исследование показало, что примерно 60% организаций сталкиваются с серьезными проблемами безопасности, относящимися к высокому и критическому уровню угроз. Такие риски включают недостатки в механизмах аутентификации пользователей, потенциально приводящие к обходу защитных мер, уязвимости в веб-приложениях, способные вызвать утечку важных сведений, а также некорректную конфигурацию сетевого оборудования, открывающую новые возможности для атакующих сторон. Наиболее опасные критические уязвимости позволяют злоумышленникам захватить контроль над ключевыми элементами инфраструктуры, включая контроллеры доменов, обеспечивающие полный доступ ко всей внутренней информации компании.
Еще треть исследованных компаний, примерно 36%, обнаружила наличие среднесерьезных проблем, хотя сами по себе они не обеспечивают полное управление системой, но способны существенно ослабить безопасность путем участия в сложных многоступенчатых схемах атак. Только небольшая доля организаций — порядка 4% — смогла продемонстрировать отсутствие значимых недостатков в области информационной безопасности.
Проведенное исследование охватило широкий спектр отраслей: наибольшая доля клиентов была представлена компаниями энергетического сектора, сферы информационных технологий и промышленного производства (около 60%), тогда как финансовая отрасль составила лишь 20%. Остальные группы распределились следующим образом: недвижимость, реклама и средства массовой информации — каждая группа получила долю около 8%.
Пентест — безопасный способ оценки защищённости информационных систем организации путём имитации действий злоумышленников. В ходе тестирования специалисты анализируют внешние и внутренние сети, проверяют веб-приложения и мобильные сервисы, устойчивость к атакам социальной инженерии, тестируют системы аутентификации. В результате бизнес получает детальный отчёт с описанием найденных уязвимостей и пошаговыми рекомендациями по их устранению и профилактике.
Из всех типов пентестов наиболее востребованным остается внешнее тестирование: с начала этого года спрос на него вырос на 48% по сравнению с результатами за весь 2024 год. На втором месте — проекты по комплаенсу (анализ соответствия систем требованиям регуляторов, нормативным документам и отраслевым стандартам). Их количество увеличилось на 75% за тот же период. Наибольший прирост (более 100%) показала услуга по расследованию уже произошедших инцидентов, однако такие работы занимают всего 4% от общего объема.
Спрос на пентесты растет ежегодно примерно на 30%, однако сейчас рынок достиг рекордных показателей. По оценкам экспертов, к концу 2025-го их количество увеличится в два раза по сравнению с прошлым годом, что объясняется ростом числа кибератак, в том числе с применением новых угроз и методов, а также усилением регуляторных требований (введение новых стандартов и ужесточение ответственности).
«Результаты нашего исследования показывают, что только 32% протестированных компаний обладают высоким уровнем защиты от кибератак. Еще 23% имеют средний уровень защищённости, а оставшиеся 45% — низкий. Проведение пентестов — лишь первый шаг к построению эффективной системы кибербезопасности. Анализируя результаты такого комплексного тестирования, компания может определить слабые места в своей инфраструктуре и понять, как правильно выстраивать защиту», — отмечает директор по развитию корпоративного бизнеса МегаФона Наталья Талдыкина.