Газета
Бизнес
Экономика
Финансы
Инвестиции
Технологии
Медиа
Недвижимость
Политика
Общество
Менеджмент
Стиль жизни
Интервью
Мнения
Фотогалереи
ВЕДЫ
Правила торговли
Идеи управления
Город
Ведомости&
Аналитика
Капитал
Страна
Промышленность
Инновации и технологии
Техуспех
Здоровье
Спорт
Конференции
Справочник компаний
Справочник персон
Туризм
Право
Наука
Как потратить
Устойчивое развитие
Форум
Премия Импульс
Ведомости Северо-Запад
Ведомости Северо-Запад Стиль жизни
Ведомости Юг
Главная / Технологии /

Эксперты оценили идею установить критерии и сроки устранения ИБ-уязвимостей

С такой идеей выступил представитель Генпрокуратуры
Мария Арялина
Евгений Разумный / Ведомости
Евгений Разумный / Ведомости

О необходимости определить единые критерии и срок, в который компании должны будут устранять критические уязвимости в системах заявил представитель Генпрокуратуры. Вопрос на круглом столе в Совете Федерации начальник отдела по надзору за исполнением законов в сфере ИКТ Главного управления по надзору за исполнением законодательства ведомства Олег Кипкаев.

По словам Кипкаева, компании нарушают обязательные требования информационной безопасности. «[В связи с этим] должна быть обеспечена системная работа по выявлению, учету и обязательному устранению критических уязвимостей в установленные сроки. Эта деятельность должна вестись на постоянной основе по единым критериям и четким определениям степени опасности выявляемых недостатков», – заявил Кипкаев.

Также Кипкаев предложил ужесточить ответственность за неустранение критических уязвимостей, в случаях когда такое бездействие грозит «причинением существенного вреда государственным, общественным и частным интересам». При этом он отметил, что если «по объективным причинам» устранение уязвимостей в кратчайшие сроки невозможно, например, из-за отсутствия нужного обновления софта либо при необходимости серьезной технологической перестройки бизнес-процессов, то «должны незамедлительно приниматься компенсирующие меры».

Представитель Минцифры подчеркнул, что эти предложения в целом согласуются с позицией ведомства по этому вопросу. В частности, летом 2025 г. был принят 325-ФЗ, в котором предусматривается введение понятия доверенного ПО, напомнил собеседник. Такой софт должны будут использовать объекты критической информационной инфраструктуры (КИИ, к ним относятся, например, операторы связи, госорганы и т. д.). Требования к такому доверенному софту сейчас дорабатываются, в их составе есть положения об обязательствах разработчика устранять уязвимости в установленный срок, уточнил собеседник в министерстве.

Проблема своевременного устранения уязвимостей существует и носит системный характер, подтверждает бизнес-партнер по кибербезопасности Cloud.ru Юлия Липатникова. Несвоевременное устранение уязвимостей в системах – это фундаментальная проблема, заявил «Ведомостям» руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев. Это глобальная проблема, отмечает председатель совета по противодействию технологическим правонарушениям КС НСБ Игорь Бедеров.

Уязвимости могут оставаться неисправленными не просто месяцами, а годами, даже после выхода официальных патчей, отмечает Липатникова. Дополнительную сложность создают приобретенные программные продукты, добавляет Коростелев: если используемый организацией сервис разработан сторонним вендором, возможность исправления возникает только после выпуска официального патча производителем.

Суть проблемы заключается в том, что процесс устранения уязвимости требует обновления программного обеспечения, что, в свою очередь, несет риски нарушения стабильности системы, поясняет Коростелев. Возникает парадокс, в котором для лиц, принимающих решения, уязвимая, при этом предсказуемо функционирующая система зачастую предпочтительнее защищенной, говорит эксперт.

В результате специалисты, отвечающие за доступность сервисов, склонны откладывать исправления до возникновения критической ситуации, в то время как сотрудники отделов информационной безопасности настаивают на незамедлительном устранении любых угроз, рассказывает Коростелев. Оптимальный подход, как правило, находится в компромиссной зоне, уточняет он: часть уязвимостей может быть неэксплуатируемой в конкретной среде либо существуют более экономичные способы их нейтрализации без исправлений.

По словам опрошенных «Ведомостями» экспертов, наиболее остро проблема просрочки устранения уязвимостей проявляется в сегменте онлайн-сервисов. Их бизнес-модель требует постоянного присутствия в интернете и максимально быстрого вывода нового функционала, что снижает глубину тестирования кода, пояснил Коростелев.

В ноябре 2025 г. хакерская группировка Clop использовала дыру в безопасности ПО Oracle, чтобы взломать системы газеты The Washington Post, в своем заявлении хакеры прямо указали, что компания «проигнорировала безопасность», добавил Бедеров. Липатникова также напомнила, что в декабре 2025 г. была опубликована информация о критической уязвимости в популярной JavaScript-библиотеке React компании Meta (организация признана экстремистской и запрещена в РФ). Уже в первую неделю после публикации злоумышленники попытались атаковать через нее три российские компании, уточнила она.

Если устранить уязвимость в установленные сроки невозможно, то компания обязана применить компенсирующие меры, т. е. временные действия, направленные на блокировку возможности эксплуатации уязвимости, говорит Бедеров: в них входят сетевая фильтрация и сегментация, усиление мониторинга и реагирования, виртуальные патчи, ограничение прав доступа. Перечисленные меры позволяют «купить время» и обеспечить защиту, уточнил он.