Хакеры нашли дыру — бизнес закрыл глаза: почему компании не устраняют уязвимости
Заместитель министра цифрового развития Александр Шойтов заявил: несмотря на то, что белые хакеры регулярно находят уязвимости в ходе пентестов, компании часто их не устраняют. Государство пока не имеет инструментов, которые могли бы заставить бизнес закрывать найденные проблемы. В итоге данные о дырах в безопасности нередко оказываются в даркнете или на форумах и становятся причиной новых атак.
Масштаб проблемы
По данным платформы BI.ZONE Bug Bounty, с августа 2024 по август 2025 года специалисты подали 6 тыс. отчётов об уязвимостях. Вознаграждения получили за 2,5 тыс., причём 30% проблем оказались критичными. Основные отчёты пришлись на IT и финтех — более 80% всех выплат.
На платформе Standoff Bug Bounty от Positive Technologies за тот же период зарегистрировано 6904 отчёта, среди которых 508 касались высокоопасных уязвимостей, а 423 — критических.
Белые хакеры за год заработали около 270 млн рублей.
Почему уязвимости не закрываются
По словам аналитика "Спикател" Алексея Козлова, одной из главных причин является нехватка ресурсов у компаний.
Директор департамента T. Hunter Игорь Бедеров добавил, что устраняется меньше половины обнаруженных уязвимостей.
Консультант Positive Technologies Алексей Лукацкий отметил, что через год-два после пентеста нередко выявляются те же самые проблемы.
Сооснователь 3side Антон Бочкарев считает, что многое упирается в организацию: часть уязвимостей можно устранить малыми усилиями, но руководство не заставляет IT-отдел действовать или проблемы скрываются.
Руководитель ИБ-направления "Телеком биржи" Александр Блезнеков добавил, что некоторые компании просто считают устранение уязвимостей экономически невыгодным.
Сравнение подходов
| Подход | Результат | Риски |
| Игнорирование уязвимостей | Экономия ресурсов в краткосрочной перспективе | Утечки данных, атаки, штрафы |
| Устранение проблем | Повышение уровня защиты, доверие клиентов | Дополнительные затраты, рост нагрузки на ИТ |
Советы шаг за шагом
-
После пентеста фиксировать все уязвимости в единой системе.
-
Назначить ответственных за устранение каждой проблемы.
-
Использовать баг-баунти программы для постоянного мониторинга.
-
Установить KPI для ИТ-подразделений по скорости исправлений.
-
Внедрять процессы аудита и контроля исполнения.
Ошибка → Последствие → Альтернатива
• Ошибка: провести пентест и отложить отчёт "в стол".
→ Последствие: данные об уязвимостях попадают в сеть.
→ Альтернатива: незамедлительное устранение критических проблем.
• Ошибка: ориентироваться только на штрафы.
→ Последствие: репутационные и финансовые потери выше санкций.
→ Альтернатива: выстраивать долгосрочную стратегию защиты.
• Ошибка: надеяться на "авось" и игнорировать рекомендации исследователей.
→ Последствие: повторные атаки и утечки.
→ Альтернатива: формирование культуры кибербезопасности внутри компании.
А что если…
А что если в России введут штрафы за неустранённые уязвимости? Эксперты считают, что это может снизить интерес компаний к пентестам: дешевле будет заплатить штраф, чем исправить проблему. Выход — создать стимулы для исправления, например, снижать санкции за системные инвестиции в кибербезопасность.
Плюсы и минусы введения жёстких требований
| Плюсы | Минусы |
| Рост уровня защищённости | Дополнительные расходы для бизнеса |
| Снижение числа утечек | Возможный спад интереса к пентестам |
| Формирование культуры безопасности | Риск ухода компаний в "серую зону" |
| Прозрачность процессов | Сопротивление со стороны бизнеса |
FAQ
Сколько уязвимостей находят белые хакеры в год?
По данным двух крупнейших платформ, более 12 тыс. отчётов ежегодно.
Почему бизнес игнорирует часть уязвимостей?
Часто из-за нехватки ресурсов или экономических приоритетов.
Можно ли обязать компании устранять уязвимости?
Пока таких механизмов нет, обсуждаются только идеи штрафов и прозрачных процедур.
Мифы и правда
• Миф: пентесты сами по себе защищают компанию.
Правда: тест лишь выявляет проблемы, но не устраняет их.
• Миф: баг-баунти решает всё.
Правда: без внутренней дисциплины даже найденные ошибки останутся.
• Миф: устранение уязвимостей слишком дорого.
Правда: утечка данных обходится дороже штрафов и потери репутации.
Три интересных факта
-
Рынок пентестов в России растёт примерно на 30% ежегодно.
-
По данным Bug Bounty-программ, до 30% уязвимостей классифицируются как критические.
-
Новый закон о персональных данных предусматривает снижение штрафов, если компания системно инвестирует в ИБ.
Исторический контекст
• 2010-е годы — рост популярности баг-баунти в России.
• 2020 год — активное развитие коммерческих пентестов.
• 2024-2025 годы — ежегодно находят десятки тысяч уязвимостей, но устраняется лишь часть.
• 2025 год — дискуссия о введении механизмов обязательного устранения проблем.
Подписывайтесь на NewsInfo.Ru
