Минцифры: компании игнорируют уязвимости, обнаруженные «белыми» хакерами

Государство на сегодняшний день не может заставить бизнес устранять уязвимости. Из инструментов властей лишь закон об оборотных штрафах, но зачастую компаниям дешевле заплатить этот самый штраф, нежели обеспечить себе высокую безопасность

Российские компании не устраняют уязвимости, выявленные «белыми» хакерами, заявил замминистра цифрового развития Александр Шойтов. Выступая на Российском интернет-форуме, он уточнил, что сейчас у государства нет инструментов, чтобы заставить бизнес делать это.

Получается, что компании, которые не устраняют уязвимости, выявленные после работы «белых» хакеров, тем самым помогают «черным», потому что информация об обнаруженных дырах публикуется на отраслевых форумах, что приводит к новым атакам и утечкам, указал Шойтов.

Российский бизнес действительно часто проявляет халатность в этих вопросах. Но далеко не всегда, считает главный технологический эксперт «Лаборатории Касперского» Александр Гостев:

Александр Гостев главный технологический эксперт «Лаборатории Касперского» «Здесь всегда есть две компании: компания, которая использует софт уязвимости, и компания, которая его разработала. Соответственно, уязвимости делятся на две категории: известные производителю и еще неизвестные. Ситуация, когда производителю известна уязвимость, он выпустил от нее патч, а компания-пользователь этот патч себе не устанавливает, — это одна история. Ситуация же, когда компания-производитель софта знает, но не исправляет эту уязвимость, — это совершенно другая история. Также есть некий временной промежуток между тем, как компания узнает о проблеме, и тем, когда она этот патч выпускает. И по международным стандартам этот срок вполне может доходить до трех месяцев. Таким образом, в ситуации, когда патч есть, но компания-клиент его не устанавливает, разумеется, все риски она принимает на себя.

У нас принят закон об оборотных штрафах за утечку персональных данных, это, пожалуй, единственный способ заставить компанию идти на дополнительные издержки для исправления уязвимости. Коммерческая компания сама решает, что ей окажется выгодно — потратить эти деньги на исправление проблемы либо заплатить возможно более гораздо серьезный штраф, испытать сильный удар по своей репутации и так далее. И, конечно, не стоит забывать об отдельном направлении — о компаниях в области критической инфраструктуры. Вот здесь, как мне кажется, государство должно более тщательно вмешиваться в этот процесс, государство должно знать обо всех уязвимостях, выявленных в IT-сетях подобных компаний, требовать исправления этих уязвимостей во вполне четкие, определенные сроки».

При этом гендиректор Phishman Алексей Горелкин считает, что принуждение — это тоже не выход:

Алексей Горелкин эксперт по информационной безопасности, гендиректор Phishman «Часть организаций обязаны в рамках ФЗ и в рамках, к примеру, распоряжения ЦБ проводить тест на проникновение: кто-то раз в полгода, кто-то раз в год. Это значит, что организации, конечно же, обязаны проводить и будут проводить, но будут проводить не для того, чтобы улучшить свои сервисы, обезопасить их, а чтобы просто выполнить данное требование. Собственно, что и делается. У тебя может пройти пентест, будут найдены уязвимости, но закрывать ты их не обязан. А даже если ты будешь их обязан закрывать, бизнес все равно, к сожалению, найдет способы, как не закрывать данные уязвимости. К примеру, закрыть их только на бумаге или как-то формально отчитаться. В целом, формальный подход к информационной безопасности сейчас у нас в стране довольно распространен, поэтому стоит учитывать, что подход к безопасности надо менять, но не через федеральные законы, потому что бизнес оценивает сумму безопасности как один из множества рисков, который может стрельнуть, а может не стрельнуть. Поэтому бизнесу чаще дешевле даже заплатить штрафы, нежели реально обеспечить свою высокую безопасность. Но тут, конечно же, кроется заблуждение в том, что в современном мире кибербезопасность выходит на первый план и это крайне важный аспект современного бизнеса. Поэтому вопрос скорее в развитии киберкультуры и отношения бизнеса к IT и ИБ. То есть вопрос все-таки в том, что, вероятно, стоит формировать киберкультуру бизнеса, а не обязывать бизнес что-либо приобретать».

Как пишут «Ведомости», за минувший год (с августа по август) на платформе BI.Zone Bug Bounty, где размещаются заказы для «белых» хакеров, от них было получено свыше 6 тысяч отчетов, за 2,5 тысячи из них компании выплатили хакерам вознаграждение.