Российские компании активно проводят пентесты и тесты на проникновение, но часто не исправляют найденные уязвимости. Заместитель министра цифрового развития Александр Шойтов на РИФ-2025 отметил, что государство пока не может заставить организации устранять обнаруженные баги, из-за чего информация о них попадает на форумы и в даркнет, создавая новые риски атак и утечек. По данным платформ Bug Bounty, только часть критических уязвимостей получает вознаграждение, а устранение проблем часто затягивается на годы из-за нехватки специалистов, ресурсов или экономической нецелесообразности.

Эксперты считают, что главная причина — «безалаберное отношение» самих компаний к безопасности. Руководство либо не контролирует IT-подразделения, либо те умело скрывают проблемы. В результате исправление уязвимостей не становится частью корпоративной культуры. Юристы и аналитики отмечают, что без четких правил и механизмов обязательного устранения багов эффект от пентестов снижается. Для повышения безопасности необходимо не только выявлять уязвимости, но и формировать культуру их исправления, а также устанавливать прозрачные процессы взаимодействия с регуляторами.

Зачастую устранение найденных уязвимостей может быть просто экономически невыгодно, уточняет руководитель ИБ-направления «Телеком биржи» Александр Блезнеков: «Проще оставить как есть, потому что шансы на то, что их кто-то проэксплуатирует, слишком малы».

Источник: Ведомости