Компании всё чаще заказывают тестирование на проникновение (пентест), но системно не устраняют найденные уязвимости. Как сообщают «Ведомости», это становится тревожной нормой: отчёты получают, но выводов не делают. Что стоит за этим трендом — и чем он грозит логистике, ритейлу и всей цифровой экономике?
Проблема, которую предпочитают не решать
На конференции РИФ-2025 заместитель министра цифрового развития Александр Шойтов озвучил тревожный факт: несмотря на рост числа пентестов, значительная часть компаний не устраняет даже критические уязвимости, выявленные в ходе тестов. Причины формально не запрещены — закон не обязывает бизнес принимать меры, если уязвимость обнаружена не в результате атаки, а в рамках добровольной проверки. Но последствия от этого не становятся менее опасными.
Цифры подтверждают проблему. По данным платформы BI.Zone Bug Bounty, за последний год (с августа 2024 по август 2025) было зафиксировано более 6 000 отчётов о потенциальных уязвимостях, из которых почти половина подтвердилась. В 30% случаев речь шла о действительно критических дырах. В Standoff Bug Bounty, аналогичном проекте от Positive Technologies, зафиксировано свыше 900 уязвимостей высокого уровня опасности. Лидируют онлайн-сервисы, финтех и e-commerce.
Пентест как ритуал: почему бизнес не действует
На практике тестирование всё чаще превращается в формальность. Формируется опасная культура: «уязвимость найдена — галочка поставлена», но не устранена. Бизнес делает отчёт для аудиторов, а не для повышения реальной устойчивости ИТ-систем.
Причины различны. Иногда компаниям не хватает внутренних ресурсов или компетенций для оперативного устранения проблем. В других случаях на первый план выходит краткосрочная экономика: устранение критической уязвимости требует остановки части процессов, пересмотра архитектуры или отказа от нестабильного подрядчика — всё это воспринимается как издержки, не вписывающиеся в KPI. Более того, в ряде случаев ответственность за устранение размыта: не всегда ясно, кто должен принимать решение — ИТ-отдел, служба ИБ, юристы или операционный блок.
Один из экспертов отрасли, Алексей Козлов из компании «Спикател», рассказал:
«Пентестеры заходили в системы под старыми логинами, оставшимися с предыдущих проверок годичной давности. Никто даже не удалил эти учётки».
Такие примеры иллюстрируют не только техническую, но и управленческую небрежность.
Регуляторные рамки и иллюзия контроля
С мая 2025 года действует обновлённый закон о персональных данных, усиливший финансовую ответственность за утечки. Формально бизнес должен учитывать затраты на информационную безопасность и может даже рассчитывать на смягчение санкций — при условии, что тратит не менее 0,1% выручки на защиту данных в течение трёх лет. Однако на практике механизмы контроля и признания этих расходов остаются непрозрачными.
Компании до сих пор не уверены, какие именно расходы могут быть зачтены: затраты на лицензии? работу подрядчиков? устранение найденных уязвимостей? Пока эти вопросы не прояснены, бизнес по-прежнему будет идти по пути наименьшего сопротивления: делать минимум, необходимый для отчётности.
Цепочки поставок под угрозой: где слабое звено
Особую тревогу вызывает реакция компаний, работающих в сфере логистики, электронной торговли и омниканальных поставок. Эти сегменты — одни из самых цифрово-зависимых. Нарушение ИТ-инфраструктуры может означать не просто «сбой в системе», а остановку склада, сбой в управлении заказами, потерю клиентских данных или взлом логистического API.
Более того, логистические операторы и маркетплейсы всё чаще становятся объектами атак не напрямую, а через своих подрядчиков: от фулфилмента до последней мили. Если хотя бы одно звено в цепочке неустойчиво — страдает вся экосистема.
К чему это приведёт — и можно ли избежать катастрофы
Пока в центре модели остаётся отчёт, а не результат, ситуация будет ухудшаться. Пентест — это не «финальный акт», а только начало. Игнорирование рекомендаций = добровольный отказ от иммунитета. Сегодня — компрометация логина, завтра — утечка всей базы заказов, послезавтра — судебные иски и имиджевые потери.
Компании, всерьёз работающие в сегменте цифровой логистики и e-commerce, уже пересматривают подход: они интегрируют ИБ в архитектуру процессов, включая SLA подрядчиков, KPI ИТ-департаментов и даже условия контрактов с B2B-клиентами. Это путь зрелого управления, а не реактивной пожарной команды.
Выводы
-
Пентест — это не чекбокс, а обязательство. Не устранять уязвимость — значит оставить дверь открытой.
-
Цифровая безопасность — часть операционной устойчивости, особенно в логистике и торговле.
-
Регулирование не спасёт, если нет внутренней культуры ответственности.
-
В условиях санкционного давления и растущей цифровизации устойчивость к атакам — не конкурентное преимущество, а вопрос выживания.
