Почему бизнес настолько халатно относится к информационной безопасности?

ForbesБизнес

Заметая инфобез под ковер: как крупные сервисы проявляют безразличие к уязвимостям

Антон Шустиков

Фото Jakub Porzycki / NurPhoto via Getty Images

В том, что вопросы информационной безопасности должны находиться в списке приоритетов бизнеса на самых верхних позициях, казалось бы, в 2024 году убеждать никого не надо. Во всем мире сообщения о кибератаках, ИБ-инцидентах приходят ежедневно в огромном количестве. Тем удивительнее, насколько халатно и с каким безразличием многие компании по-прежнему относятся к сообщениям исследователей, «белых» хакеров, об обнаруженных в инфраструктуре бизнесов «дырах» и уязвимостях, рассуждает основатель некоммерческого просветительского проекта CakesCats, консультант по ИБ и финтеху Антон Шустиков.

Моя страсть — информационная безопасность. Так сложилось, что внутри меня жива идея сделать мир лучше. Верю в доброе и светлое, и головоломки люблю прикладные. Но когда я еще работал ИБ-специалистом, в глаза бросалось то, как неохотно идет бизнес на контакт с представителями сектора ИБ, пока, конечно, что-то непредвиденное не случается. Вот постфактум идет отлично.

Хотелось бы рассказать об острейшей проблеме, весьма характерной для ИБ. Размер проблемы сложно переоценить. Компании почему-то считают, что можно рисковать миллиардами долларов убытков и своей репутацией перед миллионами клиентов по всему миру. Другим словом, как парадокс, я никак сложившуюся ситуацию назвать не могу. Бизнес всегда декларирует открытость, гибкость в решении проблем. Парадокс в том, как сильно такие заявления разнятся с действительностью.

Часть I. Отрицание

Речь идет о сообщениях, которые энтузиасты делают в адрес компаний, находя в их IT-инфраструктуре какие-либо уязвимости. Одна из самых популярных реакций на такие сообщение – отрицание. Если случился инцидент или найдена уязвимость, самое очевидное — все отрицать. Так компании и поступают. Очень часто они просто отмахиваются: мол, действительно, проблема есть, но она незначительная, и «вообще, спасибо вам, конечно, но не лезьте».

Например, совсем недавний и показательный случай с WhatsАpp (принадлежит Meta, которая признана в России экстремисткой организацией и запрещена). Исследователь Саумьяджит Дас уведомил Meta (признана в России экстремисткой организацией и запрещена) об обнаруженной им проблеме через программу Bug Bounty еще 3 июня 2024 года, и 15 июля компания ответила, что об этом уже сообщали другие специалисты, и все уже должно быть исправлено.

Однако уязвимость по-прежнему работала в последней версии WhatsApp для Windows. Еще интереснее то, что разработчики WhatsApp сообщили, что не планируют исправлять ситуацию и добавлять Python-скрипты в список файлов, открытие которых блокируется по умолчанию, так как не видят проблемы, и выпуск исправлений не планируется. Дас заявил, что разочарован, считая, что простое добавление расширений в черный список могло бы предотвратить потенциальную эксплуатацию уязвимости.

Или возьмем мой личный кейс с Telegram. Начиналось все с «пишу с воодушевлением письмо в Telegram», а закончилось тем, что получил: «Спасибо, мы уже все исправили». Нет, не исправили, проблема осталась. Так, сначала до меня дошла информация, что в Telegram выявлена новая уязвимость, связанная с загрузкой видеороликов на Android. После того, как я продемонстрировал ее в письме по программе Bug Bounty в Telegram, мне ответили, что они уже получали сообщение об этом ранее, и проблемы больше нет. Но я увидел, подтвердил уязвимость и сообщил о проблеме уже после даты, которую указали в Telegram. Однако никого это уже не волнует.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Четыре скрытых сценария: почему мы так легко теряем с трудом заработанные деньги Четыре скрытых сценария: почему мы так легко теряем с трудом заработанные деньги

Какие сценарии чаще всего приводят к денежным потерям?

Forbes
Рост заболеваемости раком легких в России объяснили распространением методов диагностики Рост заболеваемости раком легких в России объяснили распространением методов диагностики

К концу 2010-х годов в России наблюдался рост заболеваемости раком легких

N+1
IT-разработка «внутри» или готовое решение: что выбрать IT-разработка «внутри» или готовое решение: что выбрать

Стоит ли IT-компании разрабатывать ПО с нуля или лучше купить готовое решение?

Inc.
Мёд всему голова Мёд всему голова

Как ухаживают за пчелами и качают мед в усадьбе пасечников

КАНТРИ Русская азбука
Как наше имя влияет на нашу внешность: научные данные Как наше имя влияет на нашу внешность: научные данные

Могут ли наши имена влиять на наш внешний вид? Вероятно, да

ТехИнсайдер
«Это ЗИЛ?!» Как советские инженеры изобретали совершенный вездеход «Это ЗИЛ?!» Как советские инженеры изобретали совершенный вездеход

Машины, по проходимости которым не было бы равных

ТехИнсайдер
Факторы, определяющие вызовы и угрозы национальной безопасности России в Северо-Восточной Азии Факторы, определяющие вызовы и угрозы национальной безопасности России в Северо-Восточной Азии

Региональная нестабильность России может быть выгодна отдельным государствам

Обозрение армии и флота
Все дороги ведут к пирамидам Все дороги ведут к пирамидам

Почему «все боится времени, но время боится пирамид»

Вокруг света
Основной инстинкт Основной инстинкт

Быть желанной хочет каждая. Но что такое «соблазнительность» на самом деле?

Лиза
С чистого листа С чистого листа

Основные возрастные кризисы, которые случаются в жизни почти каждой женщины

Лиза
Как выбрать подушку? Как выбрать подушку?

Как выбрать комфортную подушку и из чего она должна быть сделана

Maxim
«Смерч 2»: блокбастер о девушке-метеорологе, которая бросила вызов торнадо «Смерч 2»: блокбастер о девушке-метеорологе, которая бросила вызов торнадо

«Смерч 2»: больше, чем захватывающий фильм-катастрофа

Forbes
Глава холдинга АО «Росхим»: «Стране нужна сильная химическая промышленность» Глава холдинга АО «Росхим»: «Стране нужна сильная химическая промышленность»

Российская промышленность стремится освоить новые импортозамещающие механизмы

ФедералПресс
Первая it-girl и «восхитительное пустое место»: Эди Седжвик как икона стиля Первая it-girl и «восхитительное пустое место»: Эди Седжвик как икона стиля

Эди Седжвик — первый модный инфлюенсер середины шестидесятых

Правила жизни
Вернуть в семью: как развод Бакальчук показал отношение общества к выбору женщины Вернуть в семью: как развод Бакальчук показал отношение общества к выбору женщины

Почему взрослую женщину просят вернуть мужу, как расценивать такие призывы?

Forbes
Сад против времени. В поисках рая для всех Сад против времени. В поисках рая для всех

Глава из сборника Оливии Лэнг «Сад против времени. В поисках рая для всех»

Правила жизни
Энергия на любой вкус Энергия на любой вкус

Всем по зарядке! — бросил клерк, обводя руками свою компанию. — Я угощаю!

Наука и жизнь
Начни с нуля Начни с нуля

8 полезных фильмов для тех, кто начинает свой бизнес

Лиза
«Чёрный бор» «Чёрный бор»

«Чёрный бор» — спорный налог для Новгородского княжества, введенный Калитой

Дилетант
История успеха Макдоналдса! Вот как менялся логотип именитой фастфуд-франшизы История успеха Макдоналдса! Вот как менялся логотип именитой фастфуд-франшизы

Логотип McDonald's — один из самых узнаваемых, а его история полна изменений

ТехИнсайдер
«Вселенная 25» — страшный эксперимент, который показал, что станет с человечеством, если создать «рай на Земле» «Вселенная 25» — страшный эксперимент, который показал, что станет с человечеством, если создать «рай на Земле»

Джон Кэлхун доказал: удовлетворение всех потребностей человека ведет к гибели

ТехИнсайдер
5 признаков, что ваш брак под угрозой 5 признаков, что ваш брак под угрозой

Как понять, какие перспективы у вашего союза?

Psychologies
Целительная сила «убойного» цветка Целительная сила «убойного» цветка

За какие целебные свойства ценят зверобой?

Наука и жизнь
Рабочий, колхозница и граненый стакан Рабочий, колхозница и граненый стакан

Вера Мухина создала главный советский памятник и культовую советскую посуду

Правила жизни
Джордж Оруэлл и саморазвитие! Посмотрите, какие 7 книг советовал основатель Apple Стив Джобс Джордж Оруэлл и саморазвитие! Посмотрите, какие 7 книг советовал основатель Apple Стив Джобс

Стив Джобс и его литературные рекомендации: философия и взгляды на жизнь

ТехИнсайдер
Заполнить униформу Заполнить униформу

Как армейские куртки стали инструментом борьбы с системой

Правила жизни
«У нас нет хороших решений» «У нас нет хороших решений»

Денис Соловьев — о ситуации на валютном рынке и проблемах с внешними платежами

Монокль
Валенки — большие и маленькие Валенки — большие и маленькие

Семья Соколовых больше двадцати лет валяет по старинной технологии валенки

КАНТРИ Русская азбука
Кокаин, амфетамины и мельдоний: как знаменитые теннисисты попадались на допинге Кокаин, амфетамины и мельдоний: как знаменитые теннисисты попадались на допинге

Элитные теннисисты, замешанные в допинговых спорах

Forbes
«Я больше не боюсь»: как Симона Байлз боролась, побеждала и снимала президентов «Я больше не боюсь»: как Симона Байлз боролась, побеждала и снимала президентов

История спортсменки, которая прошла через нищету, насилие и проблемы с психикой

Forbes
Открыть в приложении