Заместитель главы Минцифры Александр Шойтов на Российском интернет‑форуме заявил, что российские компании системно не устраняют уязвимости, выявленные в рамках пентестов и программ bug bounty. По его словам, государство пока не располагает механизмами, способными обязать бизнес устранять такие бреши. В итоге информация об уязвимостях нередко уходит в даркнет или обсуждается на отраслевых форумах, где быстро становится доступной злоумышленникам.
Аналитика платформ bug bounty подтверждает масштаб проблемы. По данным BI.ZONE, с августа прошлого года до августа текущего года «этичные» хакеры подали около 6000 отчётов. Вознаграждение получили 2500 сообщений. Почти треть всех выявленных уязвимостей была признана критической. Основной объём отчётов и выплат пришёлся на IT-сферу и финтех — примерно 4000 уведомлений поступили игрокам именно из этих отраслей.
Согласно данным Positive Technologies, на платформе Standoff Bug Bounty за аналогичный период было принято 6904 отчёта. Больше всего уязвимостей эксперты нашли в онлайн-сервисах, за ними следуют розничная торговля, финсектор, медиа и развлекательные проекты. 508 сообщений описывали уязвимости высокого уровня опасности, ещё 423 — критического. По итогам исследователи получили 270 млн руб. вознаграждений.
Несмотря на это, проблема устранимости остаётся острой. По словам аналитика «Спикател» Алексея Козлова, компании редко реализуют рекомендации исследователей — главным образом из-за нехватки ресурсов. Директор департамента расследований T.Hunter Игорь Бедеров уточнил, что в среднем устраняется менее 50% выявленных проблем. Бизнес-консультант Positive Technologies Алексей Лукацкий подтвердил, что через год-два после пентестов одна и та же уязвимость нередко остаётся на месте, что делает системы уязвимыми к повторным атакам.
Александр Блезнеков из «Телеком биржи» отметил, что, несмотря на рост рынка пентестов почти на 30% ежегодно, многие участники всё ещё считают устранение брешей экономически нецелесообразным. Его мнение частично поддержал Кирилл Ляхманов, советник LCH.LEGAL, указав, что в России отсутствует юридический механизм, обязывающий компании устранять уязвимости. Он добавил, что введение штрафов за игнорирование может, напротив, снизить мотивацию бизнеса участвовать в тестировании, поскольку компании предпочтут «не знать» о проблемах, чем рисковать последствиями невыполнения требований.