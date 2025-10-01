Заместитель министра цифрового развития Александр Шойтов заявил: несмотря на то, что белые хакеры регулярно находят уязвимости в ходе пентестов, компании часто их не устраняют. Государство пока не имеет инструментов, которые могли бы заставить бизнес закрывать найденные проблемы. В итоге данные о дырах в безопасности нередко оказываются в даркнете или на форумах и становятся причиной новых атак.

Масштаб проблемы

По данным платформы BI.ZONE Bug Bounty, с августа 2024 по август 2025 года специалисты подали 6 тыс. отчётов об уязвимостях. Вознаграждения получили за 2,5 тыс., причём 30% проблем оказались критичными. Основные отчёты пришлись на IT и финтех — более 80% всех выплат.

На платформе Standoff Bug Bounty от Positive Technologies за тот же период зарегистрировано 6904 отчёта, среди которых 508 касались высокоопасных уязвимостей, а 423 — критических.

Белые хакеры за год заработали около 270 млн рублей.

Почему уязвимости не закрываются

По словам аналитика "Спикател" Алексея Козлова, одной из главных причин является нехватка ресурсов у компаний.

Директор департамента T. Hunter Игорь Бедеров добавил, что устраняется меньше половины обнаруженных уязвимостей.

Консультант Positive Technologies Алексей Лукацкий отметил, что через год-два после пентеста нередко выявляются те же самые проблемы.

Сооснователь 3side Антон Бочкарев считает, что многое упирается в организацию: часть уязвимостей можно устранить малыми усилиями, но руководство не заставляет IT-отдел действовать или проблемы скрываются.

Руководитель ИБ-направления "Телеком биржи" Александр Блезнеков добавил, что некоторые компании просто считают устранение уязвимостей экономически невыгодным.

Сравнение подходов

Подход Результат Риски Игнорирование уязвимостей Экономия ресурсов в краткосрочной перспективе Утечки данных, атаки, штрафы Устранение проблем Повышение уровня защиты, доверие клиентов Дополнительные затраты, рост нагрузки на ИТ

Советы шаг за шагом

После пентеста фиксировать все уязвимости в единой системе. Назначить ответственных за устранение каждой проблемы. Использовать баг-баунти программы для постоянного мониторинга. Установить KPI для ИТ-подразделений по скорости исправлений. Внедрять процессы аудита и контроля исполнения.

Ошибка → Последствие → Альтернатива

• Ошибка: провести пентест и отложить отчёт "в стол".

→ Последствие: данные об уязвимостях попадают в сеть.

→ Альтернатива: незамедлительное устранение критических проблем.

• Ошибка: ориентироваться только на штрафы.

→ Последствие: репутационные и финансовые потери выше санкций.

→ Альтернатива: выстраивать долгосрочную стратегию защиты.

• Ошибка: надеяться на "авось" и игнорировать рекомендации исследователей.

→ Последствие: повторные атаки и утечки.

→ Альтернатива: формирование культуры кибербезопасности внутри компании.

А что если…

А что если в России введут штрафы за неустранённые уязвимости? Эксперты считают, что это может снизить интерес компаний к пентестам: дешевле будет заплатить штраф, чем исправить проблему. Выход — создать стимулы для исправления, например, снижать санкции за системные инвестиции в кибербезопасность.

Плюсы и минусы введения жёстких требований

Плюсы Минусы Рост уровня защищённости Дополнительные расходы для бизнеса Снижение числа утечек Возможный спад интереса к пентестам Формирование культуры безопасности Риск ухода компаний в "серую зону" Прозрачность процессов Сопротивление со стороны бизнеса

FAQ

Сколько уязвимостей находят белые хакеры в год?

По данным двух крупнейших платформ, более 12 тыс. отчётов ежегодно.

Почему бизнес игнорирует часть уязвимостей?

Часто из-за нехватки ресурсов или экономических приоритетов.

Можно ли обязать компании устранять уязвимости?

Пока таких механизмов нет, обсуждаются только идеи штрафов и прозрачных процедур.

Мифы и правда

• Миф: пентесты сами по себе защищают компанию.

Правда: тест лишь выявляет проблемы, но не устраняет их.

• Миф: баг-баунти решает всё.

Правда: без внутренней дисциплины даже найденные ошибки останутся.

• Миф: устранение уязвимостей слишком дорого.

Правда: утечка данных обходится дороже штрафов и потери репутации.

Три интересных факта

Рынок пентестов в России растёт примерно на 30% ежегодно. По данным Bug Bounty-программ, до 30% уязвимостей классифицируются как критические. Новый закон о персональных данных предусматривает снижение штрафов, если компания системно инвестирует в ИБ.

Исторический контекст

• 2010-е годы — рост популярности баг-баунти в России.

• 2020 год — активное развитие коммерческих пентестов.

• 2024-2025 годы — ежегодно находят десятки тысяч уязвимостей, но устраняется лишь часть.

• 2025 год — дискуссия о введении механизмов обязательного устранения проблем.