- Российские компании продолжают не устранять уязвимости, выявленные в ходе пентестов, что повышает риск кибератак и утечек данных.
- Государство пока не располагает эффективными инструментами для принуждения бизнеса к закрытию найденных проблем безопасности.
- Отсутствие мотивации и нехватка ресурсов в компаниях ведёт к тому, что многие уязвимости остаются не исправленными, несмотря на выплаты хакерам по программам Bug Bounty.
На сессии по информационной безопасности Российского интернет‑форума заместитель министра цифрового развития Александр Шойтов заявил, что российские компании не устраняют уязвимости, обнаруженные белыми хакерами в ходе пентестов. Это вызывает серьёзную обеспокоенность, поскольку найденные проблемы продолжают распространяться на специализированных форумах и в даркнете, что способствует атакам и утечкам информации.
Шойтов подчеркнул, что хотя рынок пентестов регулируется и тестирование проводят лицензированные организации, основная трудность заключается в том, как заставить бизнес устранить выявленные проблемы. Отсутствие законодательных или административных механизмов воздействия на компании приводит к тому, что многие из них игнорируют рекомендации по безопасности.
По данным платформ BI.ZONE Bug Bounty и Standoff Bug Bounty с августа 2024 по август 2025 года было подано свыше 13 тысяч отчётов об уязвимостях, при этом около трети из них классифицированы как критичные или высокого уровня опасности. В IT и финансовом секторе, на который пришлись наибольшие выплаты, активно выявляли и вознаграждали специалистов, обнаруживающих эти проблемы, на сумму порядка 270 млн рублей. Тем не менее многие компании, по мнению экспертов, не спешат внедрять необходимые исправления.
Аналитики компаний «Спикател», Positive Technologies и T.Hunter отмечают, что в среднем закрывается менее половины выявленных уязвимостей. Основные препятствия — нехватка ресурсов и безответственное отношение к проблемам безопасности со стороны руководства. Некоторые уязвимости остаются открытыми годами, несмотря на минимальные усилия, необходимые для их исправления.
Эксперты подчеркивают необходимость не только продолжать развитие пентестов, но и формировать культуру ответственного устранения уязвимостей, а также строгого контроля над исполнением рекомендаций. Существующий правовой вакуум, включая отсутствие обязательных мер по устранению уязвимостей, мешает кардинально улучшить ситуацию. Введение штрафов может негативно сказаться на заинтересованности компаний в тестировании и выявлении проблем.
Недавний закон «О персональных данных», вступивший в силу в мае 2025 года, вводит оборотные штрафы за повторные утечки, смягчаемые при условии, что компания тратит на кибербезопасность определённый процент выручки. Однако детали и критерии таких расходов пока недостаточно проработаны, а проведение пентестов не гарантирует снижение санкций.
С целью повышения эффективности борьбы с уязвимостями эксперты предлагают создать прозрачный и надёжный процесс передачи информации о проблемах безопасности государственным регуляторам и повысить обязательность устранения выявленных угроз. Таким образом, повышая ответственность бизнеса и улучшая систему информационной безопасности, можно снизить риски для цифровой экосистемы страны.
