Мнение: Введение штрафов за игнорирование найденных брешей может снизить интерес бизнеса к пентестам

Отечественные компании не устраняют уязвимости, выявленные «этичными» хакерами в ходе пентестов. Так в рамках своего выступления на Российском интернет‑форуме заявил замглавы Минцифры Александр Шойтов.

По его словам, государство пока не имеет возможности заставить организации делать это. В результате данные о брешах появляются на отраслевых форумах и в даркнете, что логично ведёт к новым атакам и утечкам.

Согласно данным платформы BI.ZONE Bug Bounty, с августа прошлого года по август текущего «белые шляпы» подали около 6000 отчётов. Вознаграждение выплатили за 2500 из них. 30% обнаруженных уязвимостей оказалось критичными. На ИТ и финтех пришлось 80% всех выплат — игроки из этих отраслей получили примерно 4000 уведомлений от безопасников.

За тот же период на платформе Standoff Bug Bounty (Positive Technologies) было сдано 6904 отчёта. Здесь антирейтинг возглавляют онлайн-сервисы. Далее идут ритейл и электронная коммерция, финсервисы, медиа и развлечения. 508 сообщений касалось уязвимостей высокого уровня опасности, а 423 — критического.

Всего ИБ-исследователи за найденные бреши получили 270 млн руб. Однако, как рассказал аналитик «Спикател» Алексей Козлов, компании редко учитывают рекомендации специалистов — ввиду нехватки ресурсов. Директор департамента расследований T.Hunter Игорь Бедеров уточнил, что в среднем устраняется менее половины выявленных проблем. Бизнес‑консультант Positive Technologies Алексей Лукацкий подтвердил: через год‑два после пентеста в системах организации часто можно обнаружить те же уязвимости.

Александр Блезнеков из «Телеком биржи» со своей стороны добавил, что, несмотря на ежегодный рост рынка пентестов почти на треть, некоторые попросту считают устранение брешей экономически невыгодным. С ним отчасти согласился советник LCH.LEGAL Кирилл Ляхманов — эксперт признал отсутствие в России механизма, который обязывал бы бизнес нейтрализовать зафиксированные проблемы, но заметил, что введение штрафов за игнорирование может снизить интерес компаний даже к тестированию.

1 октября, 2025

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

14.07.2026
АНБ соберёт лучших офицеров киберопераций под одной крышей
14.07.2026
Европа требует от Цукерберга поменять архитектуру его платформ
14.07.2026
Anthropic вызвала недовольство клиентов из-за слежки
14.07.2026
Прогноз: Цифровой рубль повлияет и на условия по традиционным финпродуктам
14.07.2026
За каждым IP-адресом должен стоять конкретный пользователь
14.07.2026
«ДиалогНаука» выполнила сертификационный аудит на соответствие стандарту PCI DSS для «Альфа-Банка»
14.07.2026
Data Day 2026: Компании переходят от экспериментов с ИИ к управлению бизнесом на основе данных
13.07.2026
Минцифры представило новые телеком-поправки — на 3 млрд рублей
13.07.2026
zkSecurity: Лидер среди ИИ-моделей меняется от релиза к релизу
13.07.2026
«Иногда у заказчиков даже заканчивается место в ЦОДах»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных