Исследование показало, что при тестировании информационной инфраструктуры компании чаще всего имеют уязвимости низкого и среднего уровня. Первая категория не является критичной. К ней относится, например, отсутствие последних обновлений ПО или драйверов. Тем не менее, такой недочёт увеличивает риск нежелательных событий.
Уязвимости среднего уровня представляют серьёзную угрозу для предприятий. Системы некоторых организаций не проверяют пароли на уникальность и сложность, не блокируют пользователя при большом количестве попыток аутентификации. А значит, злоумышленник сможет применить метод автоподбора (брутфос) всех возможных комбинаций паролей и ключей шифрования для нахождения верного. В одном из кейсов специалисты выявили критическую ИТ-брешь, которая позволила получить доступ к персональным данным клиентов тестируемой организации. Устранение выявленной недоработки затянулось у клиента на три месяца.
Проверки проводились среди компаний разных отраслей. Основными заказчиками стали региональные банки и микрофинансовые организации, забравшие на себя порядка 50% от общего объема предоставленных услуг. 25% – промышленные предприятия, ещё 25% пришлось на крупных клиентов с бизнесом совершенно разной направленности и разветвлённой филиальной сетью. В этом же списке предприятия государственного сегмента.
Пентест — это безопасный способ оценки защищённости информационных систем организации путём имитации действий злоумышленников. В ходе тестирования специалисты анализируют внешний контур и внутренние сети, проверяют веб приложения и мобильные сервисы, устойчивость к атакам средствами социальной инженерии, тестируют системы авторизации пользователя.
В результате, бизнес получает детальный отчёт с описанием найденных уязвимостей и пошаговыми рекомендациями по их устранению и профилактике. МегаФон помогает подобрать и внедрить наиболее подходящие средства защиты, исходя из потребностей клиента. Повышается и осведомлённость персонала – разбор сценариев атак становится основой для обучения кадров правилам кибергигиены.
Если говорить об атаках на сотрудников, то проблема для всех компаний общая. Персонал реагирует на простейшие фишинговые письма и открывает поддельные сообщения от руководителя с вредоносной ссылкой внутри. Пройдя по ссылке, работник даёт потенциальному злоумышленнику доступ к ИТ-инфраструктуре организации.
«Интерес к пентестам растёт. В 2025 году на территории Сибири и Дальнего Востока выполнено в два раза больше проверок, чем в предыдущем году. Мы объясняем тенденцию увеличением числа кибератак. Пентест от МегаФона даёт гораздо больше, чем просто выявление проблем ИТ систем клиента. Тестирование позволяет увидеть вектор потенциальных атак, детально рассмотреть, что делает хакер и разработать план защиты. А чёткие регламенты работы, данные экспертами, помогут снизить риски случайных нарушений и уменьшить тревожность работника», – рассказал руководитель направления по внедрению цифровых решений МегаФон на Дальнем Востоке и в Сибири Виктор Казанцев.
