Технологии

«Ростелеком»: 80% российских компаний не соблюдают базовых требований к паролям

11.06.2020 11:58:00


Компания «Ростелеком-Солар», дочерняя структура ПАО «Ростелеком», провела исследование, которое показало, что около 80% компаний не соблюдают базовых правил парольной защиты.

При этом практически в каждой тестируемой корпоративной сети специалистам по анализу защищенности удалось получить привилегии администратора. Реальному киберпреступнику это позволило бы скрытно развивать атаку, с большой вероятностью способную привести к краже финансовых средств или конфиденциальной информации.


Эксперты предупреждают: недостатки, связанные с паролями, могут привести к полной компрометации внутренней сети и утечке критически важных для организации конфиденциальных данных. Особенно опасно то, что эксплуатация таких недостатков не требует со стороны злоумышленников специальных технических средств и позволяет им долго оставаться незамеченными внутри корпоративной сети.


В основу исследования «Ростелеком-Солар» легли данные, полученные экспертами компании в ходе киберучений, тестирований на проникновение и проектов по анализу защищенности заказчиков из банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Имитация атак предполагала два сценария: проникновение в корпоративную сеть извне, а также имитацию действий внутреннего нарушителя.


Самой распространенной ошибкой, выявленной при внешнем тестировании на проникновение, оказались пароли, установленные по умолчанию, слабые и легко подбираемые пароли пользовательских учетных записей (например, «admin/admin», «admin/12345» и т.п.), а также отсутствие блокировок учетных записей, что позволяет проводить атаки на подбор паролей.


Основной недостаток, обнаруженный при внутреннем тестировании на проникновение, – использование сотрудниками одинаковых паролей учетных записей с различными правами. Например, в целях безопасности системным администраторам, как правило, выдаются две учетные записи: пользовательская, в которой он работает по умолчанию, и привилегированная административная, используемая по мере необходимости. Однако часто администраторы в обоих случаях ставят одинаковые пароли, что сводит на нет принятые меры безопасности. Подобные недостатки эксперты «Ростелеком-Солар» эксплуатируют в большинстве исследуемых корпоративных сетей.

Еще одна распространенная ошибка – хранение учетных данных на общедоступных ресурсах в корпоративной сети или на самих ПК.  например пароли в груповых политиках или записанные рядовым сотрудником пароли в текстовых файлах на рабочей станциях. В такой ситуации даже случайное попадание вредоносного ПО на машину одного сотрудника становится критической угрозой безопасности всей организации. Если злоумышленник попадает на машину пользователя и находит такой документ, он моментально получает управление привилегированными учетными записями, проникая вглубь компании.


В части организаций выявлены недостатки в парольных политиках для корпоративных учетных записей. В частности, к сотрудникам не предъявляются требования по длине создаваемых паролей и наличию в них спецсимволов (строчных и прописных букв, цифр, знаков). Ряд недостатков связан с частотой смены паролей: такое требование в одних компаниях отсутствует, а в других чрезмерно усилено (например, смена пароля каждый месяц), что обычно провоцирует сотрудников использовать слишком простые сочетания символов и записывать их на ненадежных носителях.


«Основная причина, которая ведет к подобным недостаткам – это человеческий фактор. Сотрудники компаний часто обладают недостаточной киберграмотностью и в результате стараются либо упростить пароли, либо хранят их в открытом доступе: в файле на компьютере или на стикере рядом с монитором. С другой стороны, сами системные администраторы порой недостаточно следят за тем, как хранятся учетные данные, или допускают создание пользователями слабых паролей. Нередко при заведении новых учетных записей в них по умолчанию устанавливается простой дефолтный пароль, который потом долго не меняют», – отмечает Александр Колесов, руководитель отдела анализа защищенности компании «Ростелеком-Солар».


Решить проблему, по мнению экспертов компании, можно введением двухфакторной аутентификации пользователей. Однако на данный момент из-за сложности организации и высокой стоимости услуги многие компании этого не делают. Более доступным вариантом является обучение сотрудников основам кибергигиены: объяснение правил создания надежных паролей и их безопасного хранения, в том числе с использованием специальных баз и программ.


«Ростелеком-Солар» — компания группы ПАО «Ростелеком». Национальный провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью. В основе наших технологий лежит понимание, что настоящая информационная безопасность возможна только при непрерывном мониторинге и удобном управлении системами ИБ. Этот принцип реализован в наших продуктах и сервисах.

Читайте также

Т2 предотвратила два миллиарда спам-звонков в 2025 году

Это эквивалентно 380 годам времени, которые клиенты могли бы потратить на разговоры с роботами и рекламными агентами, если бы не технологии T2.

30.01.2026

ИИ против лишнего в платежках ЖКХ

Весь 2025 год россияне игрались с нейросетями: превращали панорамы городов в вязаные миниатюры, отправляли родным советские ретро-открытки со своим изображением и залипали в вирусный нейрослоп в рилсах. В 2026-м пришла пора использовать ИИ по-взрослому. В новом выпуске спецпроекта «Тверской промт» расскажем, как с помощью искусственного интеллекта разобраться в платежках ЖКХ и выяснить, не ошибается ли УК в свою пользу.

29.01.2026

«Белый список»: рассказываем, какие сайты и приложения доступны тверичам при ограничении мобильного интернета

Вместе с экспертом из T2 разобрались, что это за «список», что в него входит и кто может им пользоваться.

29.01.2026

Названы самые популярные смартфоны в Тверской области в 2025 году

В МТС проанализировали рынок смартфонов в Тверской области по итогам 2025 года.

27.01.2026

В зоне уверенного приема: T2 улучшила качество связи в Твери и запустила базовые станции еще в 14 селах

Оператор T2 продолжает расширять зону покрытия сети и повышать качество связи в Тверской области. Этой зимой компания запустила новые базовые станции в Твери и в 14 небольших населенных пунктах

26.01.2026

Эксперты выявили 12-кратную разницу в скорости скачивания файлов в регионах России

Ключевая причина задержек — значительная географическая дистанция между пользователями и дата-центрами, где расположены серверы с данными.

23.01.2026

«Пилар» за год увеличил количество эксплуатируемых антенно-мачтовых сооружений на 22%

«Пилар», коммерческая башенная компания в ГК оператора Т2, в 2025 году вывела темпы строительства антенно-мачтовых сооружений (АМС) на рекордный уровень – количество башен в управлении увеличилось на рекордные 6,4 тысячи объектов.

22.01.2026

Рекомендуемое

Происшествия

В Твери за убийство 13-летней девочки насильнику назначено пожизненное

Суд с учетом мнения государственного обвинителя приговорил мужчину к пожизненному лишению свободы с отбыванием первых 5 лет в тюрьме, а оставшегося срока – в исправительной колонии особого режима.

30.01.2026

Культура

Примерим белое пальто в 2026?

Белый цвет давно является базовой основой гардероба, но в 2026 году институт цвета Panton провозгласил оттенок под названием «Облачный танцор» главным цветом года.

30.01.2026

Спорт

В Твери пройдет благотворительный хоккейный матч с участием звезд хоккея

Жители и гости Твери могут прийти на матч и поддержать участников специальной военной операции.

30.01.2026

Общество

687 жителей улицы Оснабрюкской в Твери получили матпомощь после падения БПЛА

Ход работ контролирует специальная комиссия, сформированная по поручению временно исполняющего обязанности губернатора Тверской области Виталия Королева.

30.01.2026

Погода

В Тверской области объявлен оранжевый уровень опасности

Предупреждение действует как минимум до 3 февраля.

30.01.2026

Происшествия

В Твери на Волге у пляжа спасли провалившегося под лёд ребенка

Несколько взрослых помогли мальчику выбраться из полыньи.

24.01.2026

Происшествия

Осужден на 11 лет второй фигурант уголовного дела о футбольном манеже в Твери

Строительство объекта было сорвано из-за коррупции в Военно-строительной компании.

24.01.2026

Наука

В Твери названы соискатели премий «Учитель года» и «Воспитатель года»

В 2026 году в муниципальном этапе конкурса «Учитель года России» будут принимать участие 9 тверских педагогов. За звание победителя в муниципальном этапе конкурса «Воспитатель года России» в 2026 году будут бороться 16 тверских педагогов.

23.01.2026