Российские компании не устраняют уязвимости, которые выявляют белые хакеры в ходе пентестов, рассказало издание ведомости со ссылкой на выступление Об этом 25 сентября 2025 года на сессии по информационной безопасности Российского интернет‑форума сообщил заместитель министра цифрового развития Александр Шойтов. По словам Шойтова, государство пока не имеет инструментов, которые могли бы заставить компании закрывать такие уязвимости. В результате данные о них появляются на отраслевых форумах и в даркнете, что ведёт к новым атакам и утечкам, подтверждают эксперты.
Заместитель главы Минцифры РФ отметил, что сама область пентестов регулируется и лицензированные компании проводят тестирование. Проблема заключается в том, как заставить бизнес устранить найденные уязвимости.
По данным платформы BI.ZONE Bug Bounty, с августа 2024 по август 2025 года хакеры подали 6 тысяч отчётов об уязвимостях. Вознаграждение выплатили за 2,5 тысячи из них. 30% обнаруженных проблем оказались критичными. Основной объём пришёлся на IT и финтех, на которые пришлось 80% всех выплат. Эти компании получили примерно 4тысячи отчётов.
С августа 2024 по август 2025 года на платформе Standoff Bug Bounty, принадлежащей Positive Technologies, было сдано 6904 отчёта. Наибольшее количество уязвимостей выявили в онлайн-сервисах, торговле и электронной коммерции, финансовых сервисах, медиа и развлечениях. Среди них 508 отчётов касались уязвимостей высокого уровня опасности, а 423 — критического.
По данным исследователей, белые хакеры за найденные уязвимости получили 270 млн рублей. Однако, как подтверждает аналитик компании «Спикател» Алексей Козлов, компании редко учитывают рекомендации специалистов. По его словам, устранению мешает нехватка ресурсов. Директор департамента расследований T.Hunter Игорь Бедеров отметил, что в среднем устраняется менее половины обнаруженных уязвимостей.
Бизнес‑консультант Positive Technologies Алексей Лукацкий также сообщил, что через год‑два после пентеста часто можно обнаружить те же уязвимости. Сооснователь 3side Антон Бочкарев считает, что основная проблема связана с безалаберным отношением компаний. По его словам, часть уязвимостей можно закрыть малыми усилиями, но руководству не удаётся заставить IT‑подразделение это сделать или оно скрывает проблему. По мнению Антона Бочкарева, важно не только развивать пентесты, но и формировать культуру устранения всех найденных уязвимостей, а также контролировать исполнителей и их цели.
Некоторые компании считают устранение уязвимостей экономически невыгодным, пояснил руководитель ИБ-направления «Телеком биржи» Александр Блезнеков. При этом рынок пентестов в России ежегодно растёт примерно на 30%.
По словам советника LCH.LEGAL Кирилла Ляхманова, в России нет механизма, который обязывает устранять уязвимости. Но введение штрафов за игнорирование может снизить интерес компаний к тестированию. Штрафы за нарушения ИБ ниже стоимости устранения критических уязвимостей.
С 30 мая 2025 года вступил в силу закон «О персональных данных». Он вводит оборотные штрафы за повторную утечку данных и предусматривает их снижение, если компания три года тратит не менее 0,1% выручки на мероприятия по ИБ. Однако пока не ясно, какие именно расходы можно учитывать. Проведение пентеста само по себе не гарантирует смягчения штрафа, отмечает Бедеров.
Заместитель гендиректора «Кибердома» Александра Шадюк считает, что необходимо создать прозрачный процесс, при котором исследователь сможет передавать данные об уязвимостях регуляторам с уверенностью, что они будут устранены.
Источник: habr.com