Почему бизнес настолько халатно относится к информационной безопасности?

ForbesБизнес

Заметая инфобез под ковер: как крупные сервисы проявляют безразличие к уязвимостям

Антон Шустиков

Фото Jakub Porzycki / NurPhoto via Getty Images

В том, что вопросы информационной безопасности должны находиться в списке приоритетов бизнеса на самых верхних позициях, казалось бы, в 2024 году убеждать никого не надо. Во всем мире сообщения о кибератаках, ИБ-инцидентах приходят ежедневно в огромном количестве. Тем удивительнее, насколько халатно и с каким безразличием многие компании по-прежнему относятся к сообщениям исследователей, «белых» хакеров, об обнаруженных в инфраструктуре бизнесов «дырах» и уязвимостях, рассуждает основатель некоммерческого просветительского проекта CakesCats, консультант по ИБ и финтеху Антон Шустиков.

Моя страсть — информационная безопасность. Так сложилось, что внутри меня жива идея сделать мир лучше. Верю в доброе и светлое, и головоломки люблю прикладные. Но когда я еще работал ИБ-специалистом, в глаза бросалось то, как неохотно идет бизнес на контакт с представителями сектора ИБ, пока, конечно, что-то непредвиденное не случается. Вот постфактум идет отлично.

Хотелось бы рассказать об острейшей проблеме, весьма характерной для ИБ. Размер проблемы сложно переоценить. Компании почему-то считают, что можно рисковать миллиардами долларов убытков и своей репутацией перед миллионами клиентов по всему миру. Другим словом, как парадокс, я никак сложившуюся ситуацию назвать не могу. Бизнес всегда декларирует открытость, гибкость в решении проблем. Парадокс в том, как сильно такие заявления разнятся с действительностью.

Часть I. Отрицание

Речь идет о сообщениях, которые энтузиасты делают в адрес компаний, находя в их IT-инфраструктуре какие-либо уязвимости. Одна из самых популярных реакций на такие сообщение – отрицание. Если случился инцидент или найдена уязвимость, самое очевидное — все отрицать. Так компании и поступают. Очень часто они просто отмахиваются: мол, действительно, проблема есть, но она незначительная, и «вообще, спасибо вам, конечно, но не лезьте».

Например, совсем недавний и показательный случай с WhatsАpp (принадлежит Meta, которая признана в России экстремисткой организацией и запрещена). Исследователь Саумьяджит Дас уведомил Meta (признана в России экстремисткой организацией и запрещена) об обнаруженной им проблеме через программу Bug Bounty еще 3 июня 2024 года, и 15 июля компания ответила, что об этом уже сообщали другие специалисты, и все уже должно быть исправлено.

Однако уязвимость по-прежнему работала в последней версии WhatsApp для Windows. Еще интереснее то, что разработчики WhatsApp сообщили, что не планируют исправлять ситуацию и добавлять Python-скрипты в список файлов, открытие которых блокируется по умолчанию, так как не видят проблемы, и выпуск исправлений не планируется. Дас заявил, что разочарован, считая, что простое добавление расширений в черный список могло бы предотвратить потенциальную эксплуатацию уязвимости.

Или возьмем мой личный кейс с Telegram. Начиналось все с «пишу с воодушевлением письмо в Telegram», а закончилось тем, что получил: «Спасибо, мы уже все исправили». Нет, не исправили, проблема осталась. Так, сначала до меня дошла информация, что в Telegram выявлена новая уязвимость, связанная с загрузкой видеороликов на Android. После того, как я продемонстрировал ее в письме по программе Bug Bounty в Telegram, мне ответили, что они уже получали сообщение об этом ранее, и проблемы больше нет. Но я увидел, подтвердил уязвимость и сообщил о проблеме уже после даты, которую указали в Telegram. Однако никого это уже не волнует.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

«Мы читаем о реальной жизни»: рэпер Whole Lotta Swag о творчестве, планах и успехе «Мы читаем о реальной жизни»: рэпер Whole Lotta Swag о творчестве, планах и успехе

Whole Lotta Swag — о своем отношении к критике и философии успеха

Forbes
Посмотрите на «устрицу-монстра»! Эксперты: это не самая большая устрица, но она поражает Посмотрите на «устрицу-монстра»! Эксперты: это не самая большая устрица, но она поражает

Устрицы могут достигать колоссальных размеров

ТехИнсайдер
«Опыт — не главное». Как мы устраивались работать на российский автозавод «Опыт — не главное». Как мы устраивались работать на российский автозавод

Как устроиться на работу на автозавод, что требуется и сколько будут платить

РБК
«Я больше не боюсь»: как Симона Байлз боролась, побеждала и снимала президентов «Я больше не боюсь»: как Симона Байлз боролась, побеждала и снимала президентов

История спортсменки, которая прошла через нищету, насилие и проблемы с психикой

Forbes
6 признаков глупого человека 6 признаков глупого человека

Как понять, кого нужно избегать? Да и нужно ли на самом деле?

Psychologies
Что делать, если твоя подруга влюбилась в абьюзера: как ей помочь — рассказывает психолог Что делать, если твоя подруга влюбилась в абьюзера: как ей помочь — рассказывает психолог

Что делать, если подруга влюбилась в абьюзера и не хочет слышать разумные доводы

VOICE
Фабрика-кухня: филиал Третьяковки в Самаре Фабрика-кухня: филиал Третьяковки в Самаре

Памятник советского конструктивизма обрел новую жизнь в виде филиала Третьяковки

Psychologies
Как твой образ влияет на успех: практические советы Как твой образ влияет на успех: практические советы

Как использовать свой образ для достижения целей и реализации амбиций?

VOICE
Борьба за ярлык Борьба за ярлык

Как Калита начал собирать русские земли вокруг Москвы?

Дилетант
Чем отличается 1 сентября в современных школах от 1 сентября в СССР и России 90-х Чем отличается 1 сентября в современных школах от 1 сентября в СССР и России 90-х

Как в наше время изменился главный детский "праздник" — 1 сентября

Maxim
Древнего дюгоня покусали акулы и крокодил Древнего дюгоня покусали акулы и крокодил

Палеонтологи описали остатки вымершего дюгоня из рода Culebratherium

N+1
«Чудовищный эксперимент» Уэнделла Джонсона: как психолог провел жестокий опыт с заиканием на детях-сиротах «Чудовищный эксперимент» Уэнделла Джонсона: как психолог провел жестокий опыт с заиканием на детях-сиротах

История о том, как детская обида и эгоизм покалечили психику сирот

ТехИнсайдер
3 факта об истребителе F-16 3 факта об истребителе F-16

Странное название и наследие подводных лодок: что надо знать про самолет F-16.

Maxim
«И Канье приедет»: что происходит с русской музыкой и что с ней будет дальше? «И Канье приедет»: что происходит с русской музыкой и что с ней будет дальше?

Почему музыкальные жанры окончательно размылись и за чем идет слушатель

Правила жизни
Пастила: съешь меня Пастила: съешь меня

Как возрождали производство знаменитой коломенской пастилы

КАНТРИ Русская азбука
Смерть самурая Смерть самурая

Лучший фильм, чтобы проститься с Аленом Делоном

Weekend
За невидимым щитом За невидимым щитом

Как защититься от космической радиации, чтобы летать к другим планетам?

ТехИнсайдер
«Все есть копия» «Все есть копия»

Как китайцы начинают работать над новым дизайном этого мира

Правила жизни
«В чем подвох?»: почему мы ищем скрытый смысл там, где его нет «В чем подвох?»: почему мы ищем скрытый смысл там, где его нет

Почему мы ищем подвох там, где он даже не предполагался?

Psychologies
Валенки — большие и маленькие Валенки — большие и маленькие

Семья Соколовых больше двадцати лет валяет по старинной технологии валенки

КАНТРИ Русская азбука
«Книги, кофе и другие измерения»: уникальный магазин в Верхней Пышме «Книги, кофе и другие измерения»: уникальный магазин в Верхней Пышме

Книжный магазин, аналогов которому в Свердловской области нет

Psychologies
Как две ученые нашли месторождение алмазов, но их открытие присвоили себе другие люди Как две ученые нашли месторождение алмазов, но их открытие присвоили себе другие люди

Пример того, как тяжелый труд ученых был вознагражден подлостью

Forbes
Что такое дроссельная заслонка, за что она отвечает и как работает Что такое дроссельная заслонка, за что она отвечает и как работает

Дроссельный узел – один из важнейших элементов управления двигателя

РБК
Уйти в айти Уйти в айти

7 востребованных IT-профессий, которые можно освоить, даже если ты гуманитарий

Лиза
«От города ГУЛАГа к моногороду. Принудительный труд и его наследие в Воркуте» «От города ГУЛАГа к моногороду. Принудительный труд и его наследие в Воркуте»

С какими трудностями сталкивались новоприбывшие работники

N+1
Почему в доме появилось много мух и как с ними бороться: 7 простых советов Почему в доме появилось много мух и как с ними бороться: 7 простых советов

Почему появляются мухи в доме и как с ними справиться.

VOICE
Слышали про «Блицкриг»? Вот как работает эта военная стратегия: интересный факт! Слышали про «Блицкриг»? Вот как работает эта военная стратегия: интересный факт!

Как устроен «Блицкриг»?

ТехИнсайдер
«Железный купол» для флота «Железный купол» для флота

История создания израильской противоракетной системы ближнего рубежа

Обозрение армии и флота
Как выстроить доверие в отношениях: 14 правил, о которых мы часто забываем Как выстроить доверие в отношениях: 14 правил, о которых мы часто забываем

Правила, которые помогут построить крепкие отношения

Psychologies
Шеф — собственник Шеф — собственник

Свою карьеру в Bellini начал еще в 2006 году. Мне тогда было 19

Bones
Открыть в приложении