Хакеры нашли дыру — бизнес закрыл глаза: почему компании не устраняют уязвимости

Хакер с ноутбуком взломал систему безопасности

© Flickr by Yuri Samoilov is licensed under Creative Commons Attribution 2.0 Generic license

Заместитель министра цифрового развития Александр Шойтов заявил: несмотря на то, что белые хакеры регулярно находят уязвимости в ходе пентестов, компании часто их не устраняют. Государство пока не имеет инструментов, которые могли бы заставить бизнес закрывать найденные проблемы. В итоге данные о дырах в безопасности нередко оказываются в даркнете или на форумах и становятся причиной новых атак.

Масштаб проблемы

По данным платформы BI.ZONE Bug Bounty, с августа 2024 по август 2025 года специалисты подали 6 тыс. отчётов об уязвимостях. Вознаграждения получили за 2,5 тыс., причём 30% проблем оказались критичными. Основные отчёты пришлись на IT и финтех — более 80% всех выплат.

На платформе Standoff Bug Bounty от Positive Technologies за тот же период зарегистрировано 6904 отчёта, среди которых 508 касались высокоопасных уязвимостей, а 423 — критических.

Белые хакеры за год заработали около 270 млн рублей.

Почему уязвимости не закрываются

По словам аналитика "Спикател" Алексея Козлова, одной из главных причин является нехватка ресурсов у компаний.
Директор департамента T. Hunter Игорь Бедеров добавил, что устраняется меньше половины обнаруженных уязвимостей.
Консультант Positive Technologies Алексей Лукацкий отметил, что через год-два после пентеста нередко выявляются те же самые проблемы.
Сооснователь 3side Антон Бочкарев считает, что многое упирается в организацию: часть уязвимостей можно устранить малыми усилиями, но руководство не заставляет IT-отдел действовать или проблемы скрываются.
Руководитель ИБ-направления "Телеком биржи" Александр Блезнеков добавил, что некоторые компании просто считают устранение уязвимостей экономически невыгодным.

Сравнение подходов

Советы шаг за шагом

Ошибка → Последствие → Альтернатива

• Ошибка: провести пентест и отложить отчёт "в стол".
→ Последствие: данные об уязвимостях попадают в сеть.
→ Альтернатива: незамедлительное устранение критических проблем.

• Ошибка: ориентироваться только на штрафы.
→ Последствие: репутационные и финансовые потери выше санкций.
→ Альтернатива: выстраивать долгосрочную стратегию защиты.

• Ошибка: надеяться на "авось" и игнорировать рекомендации исследователей.
→ Последствие: повторные атаки и утечки.
→ Альтернатива: формирование культуры кибербезопасности внутри компании.

А что если…

А что если в России введут штрафы за неустранённые уязвимости? Эксперты считают, что это может снизить интерес компаний к пентестам: дешевле будет заплатить штраф, чем исправить проблему. Выход — создать стимулы для исправления, например, снижать санкции за системные инвестиции в кибербезопасность.

Плюсы и минусы введения жёстких требований

FAQ

Сколько уязвимостей находят белые хакеры в год?
По данным двух крупнейших платформ, более 12 тыс. отчётов ежегодно.

Почему бизнес игнорирует часть уязвимостей?
Часто из-за нехватки ресурсов или экономических приоритетов.

Можно ли обязать компании устранять уязвимости?
Пока таких механизмов нет, обсуждаются только идеи штрафов и прозрачных процедур.

Мифы и правда

• Миф: пентесты сами по себе защищают компанию.
Правда: тест лишь выявляет проблемы, но не устраняет их.

• Миф: баг-баунти решает всё.
Правда: без внутренней дисциплины даже найденные ошибки останутся.

• Миф: устранение уязвимостей слишком дорого.
Правда: утечка данных обходится дороже штрафов и потери репутации.

Три интересных факта

Исторический контекст

• 2010-е годы — рост популярности баг-баунти в России.
• 2020 год — активное развитие коммерческих пентестов.
• 2024-2025 годы — ежегодно находят десятки тысяч уязвимостей, но устраняется лишь часть.
• 2025 год — дискуссия о введении механизмов обязательного устранения проблем.