На прошедшем в конце января «Инфофоруме 2026» представители ФСТЭК России представили неутешительную статистику. По итогам государственного контроля более 700 значимых объектов критической информационной инфраструктуры (КИИ) было выявлено свыше 1,2 тыс. нарушений . Регулятор направил более 2 тыс. требований о выполнении законодательства и составил 603 протокола об административных правонарушениях. Из них 111 дел возбуждено по статье о нарушении порядка защиты КИИ, а 492 — за непредставление или несвоевременное представление сведений во ФСТЭК .
Особую тревогу вызывает тот факт, что лишь 36% организаций достигли минимального базового уровня киберзащищенности, то есть способности противостоять злоумышленникам даже с минимальными возможностями . Для сравнения: в 2024 году регулятор отчитывался о выявленных 800 нарушениях, однако тогда проверки охватили примерно такое же количество объектов .
Начальник управления ФСТЭК России Елена Торбенко назвала восемь основных причин сложившейся ситуации. Ключевые проблемы:
-
Системное отстранение ИБ-специалистов — их не допускают к информации и не погружают в процессы создания, эксплуатации и совершенствования систем .
-
Размытие ответственности — функции по обеспечению безопасности зачастую возложены только на подразделения информационной безопасности, хотя к этому процессу должны быть причастны все участники создания и эксплуатации систем .
-
«Теневые активы» — почти во всех случаях проверок фиксировалось полное несоответствие сведений о включаемом в реестр объекте и его фактическом состоянии. Об изменениях архитектуры или технологий не предупреждают ИБ-специалиста, а он, в свою очередь, не обновляет необходимые меры защиты .
В 2026 году количество проверок со стороны регулятора будет увеличено, что требует от субъектов КИИ немедленного пересмотра подходов к безопасности.
Мнение эксперта «Инжинирингового центра РЕГИОНАЛЬНЫЕ СИСТЕМЫ»
«Цифры, озвученные ФСТЭК, — это не просто статистика, а прямое отражение системной проблемы российского бизнеса. Мы видим это в каждом втором проекте: службы информационной безопасности существуют в изоляции от IT- и производственных департаментов. Бизнес внедряет новые технологии, меняет архитектуру, а ИБ узнает об этом постфактум, когда меры защиты уже не работают или требуют перестройки.*
*Выполнение требований 187-ФЗ — это не разовое мероприятие по категорированию, а непрерывный процесс. Чтобы пройти проверку регулятора и, что важнее, реально защитить свои активы, необходимо выстраивать системную работу. Нужно не просто формально назначить ответственных, а интегрировать специалистов по безопасности во все этапы — от проектирования до вывода систем из эксплуатации. Только так можно избавиться от "теневых активов" и добиться того самого минимального уровня защиты, о котором говорит регулятор».*