Российские компании, проводящие пентесты и оценку защищенности, часто не устраняют выявленные белыми хакерами уязвимости. Об этом 25 сентября на сессии по информационной безопасности Российского интернет-форума (РИФ-2025) заявил заместитель министра цифрового развития Александр Шойтов. По его словам, государство пока не имеет инструментов, чтобы обязать компании исправлять выявленные недостатки.
По данным отраслевых экспертов, бездействие организаций приводит к публикации информации об уязвимостях на форумах и в даркнете, что провоцирует новые кибератаки и утечки данных. В среднем компании устраняют менее половины всех выявленных уязвимостей, а повторные проверки иногда показывают, что старые проблемы остаются нерешёнными, отмечают аналитики. Основная причина — нехватка ресурсов, низкая культура ИБ и экономическая невыгодность некоторых исправлений.
Статистика платформ Bug Bounty подтверждает масштаб проблемы. Так, на BI.Zone Bug Bounty за год было подано более 6 тыс. отчетов о уязвимостях, но вознаграждение выплатили лишь за 2,5 тыс. отчетов. При этом около 30% уязвимостей считались критическими. Лидерами по количеству сданных отчетов стали IT и финтех, на которые пришлось порядка 80% всех выплат. Похожие данные привела платформа Standoff Bug Bounty от Positive Technologies.
Эксперты считают, что причина кроется в «безалаберном отношении компаний» и недостаточной ответственности руководства за устранение проблем. При этом рынок пентестов в России активно растет: ежегодный прирост спроса на услуги тестирования на проникновение составляет около 30%.
Работа белых хакеров — это не формальность, а реальная возможность предотвратить кибератаки и утечки данных. А потому отказ от устранения проблем показывает низкий уровень ответственности и отсутствие культуры информационной безопасности внутри организаций, отметил член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин.
«Игнорирование уязвимостей приводит к прямым рискам для бизнеса и граждан. Когда проблемы остаются не устранёнными, информация о них часто попадает на отраслевые форумы и в даркнет, что облегчает жизнь злоумышленникам. Публикация подобных данных становится источником новых атак, и в результате страдают репутация компаний, их клиенты и партнеры», — отметил депутат.
Ситуация усугубляется экономической логикой некоторых организаций, которые считают исправление уязвимостей «невыгодным». «Но это в корне неверный взгляд на проблему. Несвоевременное устранение недостатков может привести к значительно большим убыткам в будущем, включая штрафы, потерю клиентов и репутации. Инвестиции в кибербезопасность должны рассматриваться как стратегическая необходимость, а не как второстепенная статья расходов», — считает Немкин.
Важно подчеркнуть, что рынок пентестов активно развивается, и специалисты, участвующие в bug bounty и тестировании на проникновение, уже доказали свою эффективность. Российские компании, такие как Яндекс, VK, Ozon и другие, используют эти практики для повышения защищенности своих сервисов. Остальным организациям пора перестать относиться к пентестерам как к «ненужной проверке» и начать воспринимать их как союзников в обеспечении безопасности, добавил депутат.
Источник: Пресс-служба депутата Государственной Думы РФ Антона Немкина
