Почему бизнес настолько халатно относится к информационной безопасности?

ForbesБизнес

Заметая инфобез под ковер: как крупные сервисы проявляют безразличие к уязвимостям

Антон Шустиков

Фото Jakub Porzycki / NurPhoto via Getty Images

В том, что вопросы информационной безопасности должны находиться в списке приоритетов бизнеса на самых верхних позициях, казалось бы, в 2024 году убеждать никого не надо. Во всем мире сообщения о кибератаках, ИБ-инцидентах приходят ежедневно в огромном количестве. Тем удивительнее, насколько халатно и с каким безразличием многие компании по-прежнему относятся к сообщениям исследователей, «белых» хакеров, об обнаруженных в инфраструктуре бизнесов «дырах» и уязвимостях, рассуждает основатель некоммерческого просветительского проекта CakesCats, консультант по ИБ и финтеху Антон Шустиков.

Моя страсть — информационная безопасность. Так сложилось, что внутри меня жива идея сделать мир лучше. Верю в доброе и светлое, и головоломки люблю прикладные. Но когда я еще работал ИБ-специалистом, в глаза бросалось то, как неохотно идет бизнес на контакт с представителями сектора ИБ, пока, конечно, что-то непредвиденное не случается. Вот постфактум идет отлично.

Хотелось бы рассказать об острейшей проблеме, весьма характерной для ИБ. Размер проблемы сложно переоценить. Компании почему-то считают, что можно рисковать миллиардами долларов убытков и своей репутацией перед миллионами клиентов по всему миру. Другим словом, как парадокс, я никак сложившуюся ситуацию назвать не могу. Бизнес всегда декларирует открытость, гибкость в решении проблем. Парадокс в том, как сильно такие заявления разнятся с действительностью.

Часть I. Отрицание

Речь идет о сообщениях, которые энтузиасты делают в адрес компаний, находя в их IT-инфраструктуре какие-либо уязвимости. Одна из самых популярных реакций на такие сообщение – отрицание. Если случился инцидент или найдена уязвимость, самое очевидное — все отрицать. Так компании и поступают. Очень часто они просто отмахиваются: мол, действительно, проблема есть, но она незначительная, и «вообще, спасибо вам, конечно, но не лезьте».

Например, совсем недавний и показательный случай с WhatsАpp (принадлежит Meta, которая признана в России экстремисткой организацией и запрещена). Исследователь Саумьяджит Дас уведомил Meta (признана в России экстремисткой организацией и запрещена) об обнаруженной им проблеме через программу Bug Bounty еще 3 июня 2024 года, и 15 июля компания ответила, что об этом уже сообщали другие специалисты, и все уже должно быть исправлено.

Однако уязвимость по-прежнему работала в последней версии WhatsApp для Windows. Еще интереснее то, что разработчики WhatsApp сообщили, что не планируют исправлять ситуацию и добавлять Python-скрипты в список файлов, открытие которых блокируется по умолчанию, так как не видят проблемы, и выпуск исправлений не планируется. Дас заявил, что разочарован, считая, что простое добавление расширений в черный список могло бы предотвратить потенциальную эксплуатацию уязвимости.

Или возьмем мой личный кейс с Telegram. Начиналось все с «пишу с воодушевлением письмо в Telegram», а закончилось тем, что получил: «Спасибо, мы уже все исправили». Нет, не исправили, проблема осталась. Так, сначала до меня дошла информация, что в Telegram выявлена новая уязвимость, связанная с загрузкой видеороликов на Android. После того, как я продемонстрировал ее в письме по программе Bug Bounty в Telegram, мне ответили, что они уже получали сообщение об этом ранее, и проблемы больше нет. Но я увидел, подтвердил уязвимость и сообщил о проблеме уже после даты, которую указали в Telegram. Однако никого это уже не волнует.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Бег по лавандовому полю за €2 млн: зачем в Париже сделали красивой легкую атлетику Бег по лавандовому полю за €2 млн: зачем в Париже сделали красивой легкую атлетику

Почему французы на Олимпиаде отошли от традиционного кирпично-красного цвета?

Forbes
Мнение эксперта: Фрейда «неправильно поняли»! Он не был одержим сексом, как принято считать Мнение эксперта: Фрейда «неправильно поняли»! Он не был одержим сексом, как принято считать

Зигмунд Фрейд не считал, что все фантазии во сне — это подавленная эротика

ТехИнсайдер
Крах по расписанию: продажи московских новостроек рухнули в июле Крах по расписанию: продажи московских новостроек рухнули в июле

В июле количество заключенных ДДУ в Москве снизилось на 40%

Forbes
В зоне комфорта В зоне комфорта

Comfort food в России всегда была неразрывна с деревней

Bones
Бильярд на гробах и желто-синие бездны. Как Ван Гог опередил свое время Бильярд на гробах и желто-синие бездны. Как Ван Гог опередил свое время

Была ли история успеха Ван Гога случайностью и как он смог добиться признания?

СНОБ
Мещанское счастье певца революции. Как Маяковский предал себя Мещанское счастье певца революции. Как Маяковский предал себя

Вставные зубы в мещанском аду: как Маяковский уничтожил в себе поэта

СНОБ
Искусство вокруг руин: «Воскресенский завод» в Башкортостане Искусство вокруг руин: «Воскресенский завод» в Башкортостане

Арт-центр «Воскресенский завод» — неожиданный проект концепции сохранения руин

Psychologies
Почему нельзя выливать маринад от овощей Почему нельзя выливать маринад от овощей

Что бы ты ни делала, не выливай маринад от овощей в канализацию!

VOICE
Как пустышка становится лекарством: что общего у гомеопатии и психотерапии Как пустышка становится лекарством: что общего у гомеопатии и психотерапии

Почему плацебо помогает при болезни Паркинсона?

Forbes
Хайп против сатиры: по-прежнему ли работы Бэнкси стоят внимания Хайп против сатиры: по-прежнему ли работы Бэнкси стоят внимания

Как Бэнкси превращается в Кэти Пэрри в мире стрит-арта

СНОБ
8 удивительных парадоксов, о которых должен знать каждый, кто увлекается психологией 8 удивительных парадоксов, о которых должен знать каждый, кто увлекается психологией

Необычные феномены, которые можно отследить в своих и чужих поступках

Psychologies
Диво дивное Диво дивное

Воронежская область — поля подсолнухов, меловые столбы и водная гладь Дона

Лиза
«Книги, кофе и другие измерения»: уникальный магазин в Верхней Пышме «Книги, кофе и другие измерения»: уникальный магазин в Верхней Пышме

Книжный магазин, аналогов которому в Свердловской области нет

Psychologies
Влиять или не влиять? Влиять или не влиять?

Тест: свойственно ли вам злоупотреблять доверием окружающих и манипулировать?

Psychologies
Как себе помочь, если нет денег на психолога? Как себе помочь, если нет денег на психолога?

Как помочь себе самостоятельно, развивая осознанность?

VOICE
10 лучших новых сериалов, которые должен посмотреть каждый. Выбор читателей «Правил жизни» 10 лучших новых сериалов, которые должен посмотреть каждый. Выбор читателей «Правил жизни»

Подборка сериалов, в которой каждый найдет что-то для себя

Правила жизни
Подводный беспилотник исследовал ледяной шельф, но бесследно исчез Подводный беспилотник исследовал ледяной шельф, но бесследно исчез

Ученые составили карту нижней стороны шельфового ледника Дотсон в Антарктиде

ТехИнсайдер
«Пульс и сердце, свет в зрачки, череп, руки, ноги, разрядики тока»: отрывок из романа Дании Жанси «Путешествия Лейлы» «Пульс и сердце, свет в зрачки, череп, руки, ноги, разрядики тока»: отрывок из романа Дании Жанси «Путешествия Лейлы»

«Путешествия Лейлы» — о самоопределении, памяти и гранях «нормальности»

Правила жизни
«Криминальный гардероб: особенности девиантного костюма» «Криминальный гардероб: особенности девиантного костюма»

Как одеваются японские бунтарки

N+1
3 факта об истребителе F-16 3 факта об истребителе F-16

Странное название и наследие подводных лодок: что надо знать про самолет F-16.

Maxim
Ветер с Юга дул Ветер с Юга дул

Краткая история «Унесенных ветром» в 50 пунктах

Weekend
Спортивный характер Спортивный характер

О, спорт, ты стиль: мода, идущая со стадионов

Men Today
Запуск 6G возможен к 2030 году: эксперт назвал время появления связи шестого поколения Запуск 6G возможен к 2030 году: эксперт назвал время появления связи шестого поколения

Готов ли мир к переходу на связь шестого поколения?

ТехИнсайдер
Стоит ли делать МРТ-сканирование всего тела Стоит ли делать МРТ-сканирование всего тела

Как же работают эти МРТ-сканы всего тела и действительно ли они «спасают жизни»?

ТехИнсайдер
Набрать, сбросить, повторить: как актеры вынуждены менять свою внешность ради карьеры Набрать, сбросить, повторить: как актеры вынуждены менять свою внешность ради карьеры

Как актерам приходится издеваться над собственным телом под давлением продюсеров

Forbes
Юла: кручу-верчу Юла: кручу-верчу

Яркая и шумная юла уже много веков веселит малышню в российских домах

КАНТРИ Русская азбука
Прыжок в историю: батут может принести россиянке олимпийскую медаль Прыжок в историю: батут может принести россиянке олимпийскую медаль

Анжела Бладцева: о возможной героине Игр и шансах на победу

Forbes
Трезвые разговоры в баре: Екатерина Манойло и Михаил Турбин Трезвые разговоры в баре: Екатерина Манойло и Михаил Турбин

Что обсуждают писатели, когда встречаются в баре рано утром?

СНОБ
Кулинарные хитрости: как быстро снять кожицу с помидоров Кулинарные хитрости: как быстро снять кожицу с помидоров

Почистить помидоры можно без овощечистки и ножа

ТехИнсайдер
США запутались в ключах от Белого дома США запутались в ключах от Белого дома

Замена кандидата в президенты оживила предвыборную борьбу в США

Монокль
Открыть в приложении