Российские компании не устраняют выявленные «белыми хакерами» уязвимости

Российские компании, которые проводят пентесты, или оценку защищенности компаний, не устраняют выявленные «белыми хакерами» уязвимости, заявил замминистра цифрового развития Александр Шойтов в ходе сессии по информационной безопасности Российского интернет-форума, сообщают «Ведомости». Он отметил, что у государства в настоящее время нет инструментов, чтобы «заставить» компании делать это.

По словам Шойтова, область пентестов полностью отрегулирована, и проблемы в ней отсутствуют. Есть компании с такими лицензиями ФСТЭК, проводящие тестирование, указал он. «Вопрос в том, как потом заставить компании устранить уязвимости, это отдельная более сложная история», — сказал Шойтов.

Издание направило в Минцифры запрос о том, прорабатывает ли министерство возможности решения этой проблемы. 

Ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов сообщил «Ведомостям», что в большинстве случаев рекомендации пентестеров действительно не учитываются компаниями. Он отметил, что зачастую на устранение уязвимостей, которые были обнаружены в результате пентестов, не хватает людей и ресурсов. 

По словам Козлова, бывали случаи, когда пентестеры в ходе повторного аудита заходили в систему под старыми учетными записями от предыдущих работ, которые проводились годом ранее. Он также уточнил, что нельзя исключать возможного проникновения хакеров через уязвимости, выявленные в результате пентестов. 

Согласно данным T.Hunter, организации в среднем устраняют менее половины всех найденных уязвимостей, сообщил «Ведомостям» директор департамента расследований компании Игорь Бедеров. 

Бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий подтвердил изданию, что такая проблема есть, поскольку уязвимости часто находятся в системах, которые не могут быть обновлены или изменены. По словам сооснователя компании 3side Антона Бочкарева, основная проблема в устранении выявленных при пентестах уязвимостей заключается в «безалаберном отношении самих компаний». 

Сейчас механизма, который бы обязывал устранять найденные при пентестах уязвимости, нет, сообщил «Ведомостям» советник и руководитель практики IT/IP LCH.LEGAL Кирилл Ляхманов. При этом, по его мнению, введение дополнительной ответственности за игнорирование обнаруженных уязвимостей снизит мотивацию компаний проводить тестирование на проникновение.

По мнению замгендиректора «Кибердома» Александры Шадюк, в регулировании должен быть прозрачный и понятный процесс, в рамках которого исследователь может сдать выявленную уязвимость и быть уверен, что ее рассмотрят и исправят. Она полагает, что одним из вариантов может стать передача информации о таких уязвимостях регуляторам. 

С 1 августа прошлого года по 1 августа 2025 года на платформе BI.Zone Bug Bounty было получено свыше 6000 отчетов, из них 2500 выплатили вознаграждение, сообщал в конце августа «Ведомостям» руководитель платформы Андрей Левкин. Он указывал, что, согласно оценке исследователей, 30% уязвимостей являлись критичными. А лидерами по числу сданных отчетов среди отраслей стали IT и финтех, на которые пришлось около 80% всех выплат. 

В июле Госдума отклонила законопроект, который предусматривал легализацию в России деятельности «белых хакеров», привлекаемых компаниями к тестированию своих информсистем на уязвимости. РБК писал, что проект отклонили после соответствующей рекомендации профильного комитета Госдумы по госстроительству и законодательству, где сочли, что он не учитывает особенности информационного обеспечения работы государственных органов.