14 октября 2025 года Microsoft официально прекратила техническую поддержку и выпуск обновлений безопасности для операционной системы Windows 10, а также серверного программного обеспечения Exchange Server 2016/2019. Этот шаг, которого ИТ- и ИБ-специалисты ожидали с заметным напряжением, означает одно: все новые уязвимости, обнаруженные в этих продуктах, больше не будут исправляться. Системы, продолжающие работать на данных ОС, становятся открытыми для кибератак.
Чем это грозит бизнесу и государственным организациям
Для тысяч информационных систем это создает прямую угрозу безопасности данных. ФСТЭК России в своем информационном сообщении указывает, что прекращение поддержки в сочетании с неизбежным появлением новых «дыр» в безопасности существенно расширяет возможности для хакерских группировок. Любая обнаруженная уязвимость будет оставаться актуальной и эксплуатируемой, поскольку разработчик перестал выпускать патчи.
Особенно опасна ситуация для:
- государственных организаций,
- субъектов КИИ,
- компании, где непрерывность ИТ-сервисов критична для работы бизнеса.
В таких случаях последствия инцидента могут затронуть не только финансы и репутацию, но и приведение систем в несоответствие требованиям регуляторов.
Что рекомендует ФСТЭК
Регулятор предлагает два направления действий: импортозамещение и использование компенсирующих мер.
Импортозамещение
ФСТЭК отмечает, что переход на поддерживаемые операционные системы и почтовые серверы снижает риски и позволяет организациям оставаться в нормативном поле. В российских реалиях это чаще означает выбор отечественных решений, получающих обновления безопасности и техническую поддержку.
Компенсирующие меры
Понимая, что мгновенная миграция возможна не везде, ФСТЭК публикует рекомендации для организаций, которые вынуждены временно продолжать работу на неподдерживаемых ОС. Среди них:
- установка всех доступных обновлений;
- максимальное ограничение доступа к этим системам из интернета с помощью межсетевых экранов;
- усиление защиты периметра (IDS/IPS, DLP, антивирусы);
- регулярный мониторинг уязвимостей;
- обязательное резервное копирование;
- внедрение дополнительных сертифицированных средств защиты информации.
Такая комбинация должна снизить риски до момента миграции, однако она не устраняет главную проблему — отсутствие обновлений безопасности.
Что это означает на практике
ФСТЭК фактически дает понять: время на плавный переход истекло. Для государственных структур и субъектов КИИ дальнейшая эксплуатация неподдерживаемых продуктов без реализации компенсирующих мер будет рассматриваться как несоблюдение требований законодательства.
Поэтому обновление инфраструктуры, импортозамещение и усиление кибербезопасности из стратегических задач превращаются в оперативный приоритет.
