Фактический адрес
Офис Simplity «Чистые Пруды»,
ул. Мясницкая д. 24/7 стр.3

+7 499 288 88 18
Тестирование на проникновение государственных информационных систем субъекта РФ
Вернуться

Тестирование на проникновение государственных информационных систем субъекта РФ

37,5%
ресурсов могут быть захвачены злоумышленником по результатам пентеста
Проблема

  • 15% кибератак на объекты в Российской Федерации пришлось на государственный сектор в 2024 году.

  • Несоблюдение требований по защите ГИС (КИИ) имеет последствия:

    - Лишение свободы от 2 до 5 лет за неправомерное воздействие на КИИ (ст.274.1 УК РФ)
    - Штраф от 500 тыс. до 1 млн рублей иди в размере дохода осужденного за период от 1 до 3 лет (ст.274.1 УК РФ)
Особенность

Государственные информационные системы содержат огромное количество данных, в том числе и конфиденциальных, их сохранность должна поддерживаться с особой ответственностью.

Запрос

  • Провести тестирование на проникновение информационных систем в режиме black box

  • Оценить достаточность применяемых средств защиты и ПО и дать рекомендации по повышению уровня защищенности

ЧТО УДАЛОСЬ БЕЛЫМ ХАКЕРАМИ SIMPLITY
  1. Подтвердили возможность получения доступа к конфиденциальным данным пользователей и захвата права администратора ГИС.
  2. Обнаружили уязвимость - возможность реализовать SQL инъекцию, эксплуатация которой позволила бы злоумышленнику удалить важную базу данных.
  3. Обнаружили ошибку в настройках доступа и подтвердили возможность кражи и обнародования конфиденциальной информации злоумышленником.
  4. Подтвердили возможность захвата web-ресурса Клиента, который мог стать для злоумышленника плацдармом для кибератаки.
  5. Обнаружили возможность подмены контента на одном из ресурсов клиента.
Пентест помог выявить 4 уязвимости критического и высокого уровня опасности и ряд критических недочетов в защите ГИС, а также подтвердил возможность реализации недопустимых событий.

По результатам тестирования Клиенту был представлен подробный отчет о выявленных векторах атак и потенциальных, а также рекомендации по укреплению.
Результат
  • Клиент узнал слабые места в защите ГИС
  • Клиент оперативно закрыл выявленные уязвимости
  • Клиент скорректировал систему информационной защиты в соответствии с рекомендациями
  • Клиент выполнил требования регулятора в части защиты государственных информационных систем - 149-ФЗ, ПП 676 и приказ № 17 ФСТЭК России
Сотрудничать
с Simplity
Использование cookies

Наш сайт использует куки. Продолжая им пользоваться, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности.
Политика использования cookie-файлов