В СФ перечислили риски компаний, которые не проводят кибериспытания

Многие компании не проводят кибериспытания из-за стоимости процесса, нехватки специалистов и недооценки рисков. Такая логика опасна и может привести к утечке данных, финансовому ущербу и остановке производственных процессов, сказал «СенатИнформ» замглавы Совета по развитию цифровой экономики при СФ, первый зампред Комитета верхней палаты по конституционному законодательству и госстроительству Артём Шейкин.

Ранее на одной из сессий Петербургского международного экономического форума (ПМЭФ-2026) говорили о необходимости расширения практики проведения кибериспытаний на предприятиях различных отраслей, чтобы выявить уязвимости. Сейчас не все компании, даже относящиеся к критической инфраструктуре, проводят такие испытания.

У части бизнес-сообщества всё ещё остаётся ощущение, что если серьёзных инцидентов не было, значит, система защищена, отметил сенатор Артём Шейкин. Но сегодня это уже неэффективная и даже опасная логика: злоумышленник может находиться внутри инфраструктуры долгое время, а компания узнает об этом только после утечки, остановки процессов или финансового ущерба.

Кибериспытания нужны именно для того, чтобы заранее увидеть реальные слабые места — уязвимости в системах, удалённом доступе, работе подрядчиков, устаревшем оборудовании или действиях сотрудников. Обычный аудит показывает соответствие требованиям, а контролируемая атака демонстрирует, выдержит ли инфраструктура действия настоящего противника

Артём Шейкин, первый зампред Комитета СФ по конституционному законодательству и госстроительству

По словам сенатора, в этом и заключается преимущество риск-ориентированного подхода. Он заявил, что в обязательном порядке такие испытания стоит проводить на объектах критической информационной инфраструктуры (КИИ): в секторах энергетики, транспорта, связи, промышленности, финансов, здравоохранения, а также в госсистемах и оборонно-промышленном комплексе. Там киберинцидент может привести не только к утечке данных, но и к сбоям в работе важных сервисов и рискам для граждан.

«Чтобы масштабировать эту практику, нужны понятные правила проведения кибериспытаний, квалифицированные команды, протоколы защиты данных, установленные сроки устранения найденных уязвимостей и соразмерная ответственность за игнорирование рисков», — сказал Артём Шейкин. Главная задача — не создать ещё одну отчётность, а заранее проверить устойчивость систем и закрыть слабые места до того, как ими воспользуются злоумышленники.

Как писал «СенатИнформ», к 2031 году объём рынка кибербезопасности может превысить 1 трлн рублей. По словам сенатора Артёма Шейкина, тенденции роста связаны не только с импортозамещением, хотя этот фактор остаётся важным.

Ранее выяснилось, что российские компании стали вкладывать больше средств в обучение сотрудников кибербезопасности на цифровых полигонах и реальных кейсах. 

С января по сентябрь прошлого года государственные и муниципальные учреждения, а также компании с госучастием приобрели решения и услуги в сфере информационной безопасности (ИБ) на 11,9 млрд рублей.

Спикер СФ Валентина Матвиенко призывала Минцифры оперативнее реагировать на вызовы и угрозы, а не вдогонку бежать за ситуацией, которая складывается с уровнем кибермошенничества и утечки персональных данных.