Заместитель главы Минцифры РФ: «Российские компании продолжают не устранять уязвимости, выявленные в ходе пентестов»

Российские компании не устраняют уязвимости, которые выявляют белые хакеры в ходе пентестов, рассказало издание ведомости со ссылкой на выступление. Об этом 25 сентября 2025 года на сессии по информационной безопасности Российского интернет‑форума сообщил заместитель министра цифрового развития Александр Шойтов. По словам Шойтова, государство пока не имеет инструментов, которые могли бы заставить компании закрывать такие уязвимости. В результате данные о них появляются на отраслевых форумах и в даркнете, что ведёт к новым атакам и утечкам, подтверждают эксперты.

Заместитель главы Минцифры РФ отметил, что сама область пентестов регулируется и лицензированные компании проводят тестирование. Проблема заключается в том, как заставить бизнес устранить найденные уязвимости.

По данным платформы BI.ZONE Bug Bounty, с августа 2024 по август 2025 года хакеры подали 6 тысяч отчётов об уязвимостях. Вознаграждение выплатили за 2,5 тысячи из них. 30% обнаруженных проблем оказались критичными. Основной объём — в IT и финтехе, на которые пришлось 80% всех выплат. Эти компании получили примерно 4 тысячи отчётов.

С августа 2024 по август 2025 года на платформе Standoff Bug Bounty, принадлежащей Positive Technologies, было сдано 6904 отчёта. Наибольшее количество уязвимостей выявили в онлайн-сервисах, торговле и электронной коммерции, финансовых сервисах, медиа и развлечениях. Среди них 508 отчётов касались уязвимостей высокого уровня опасности, а 423 — критического.

По данным исследователей, белые хакеры за найденные уязвимости получили 270 млн рублей. Однако, как подтверждает аналитик компании «Спикател» Алексей Козлов, компании редко учитывают рекомендации специалистов. По его словам, устранению мешает нехватка ресурсов. Директор