Пентест негативный. У большинства российских компаний есть критические уязвимости

Эксперты ПАО "МегаФон" проанализировали результаты пентестов и выяснили, что около 60% российских компаний имеют уязвимости высокого и критического уровня. Они могут привести к получению максимальных прав к корпоративной инфраструктуре, несанкционированному доступу к конфиденциальным данным и захвату контроллеров домена. А уязвимости высокого уровня - дефекты в системах аутентификации, с помощью которых злоумышленники обходят защиту, находят слабые места в веб-приложениях с риском утечки данных и проблемы в конфигурации сервисов, создающих дополнительные точки для атаки.

"В 36% случаев выявлены уязвимости среднего уровня, которые не дают полного контроля над системой, однако они могут стать важным звеном в цепочке атаки и скомпрометировать более защищенные компоненты инфраструктуры. И только 4% компаний не имеют серьезных пробелов в защите. Пентесты проводились среди компаний разных отраслей и направленности: 60% - в сфере электроэнергетики, ИТ и промышленности, 20% - финансовый сектор, по 8% - предприятия недвижимости, рекламы и медиа, розничной торговли", - говорится в сообщении "МегаФона".

https://www.comnews.ru/content/241144/2025-09-09/2025-w37/1010/khakery-…

Самыми востребованными пентестами являются внешнее тестирование (в 2025 г. спрос на него вырос на 48% по сравнению с 2024 г.) и проекты по комплаенсу (запросы на анализ соответствия требованиям регуляторов, нормативным документам и отраслевым стандартам выросли на 75%). Однако, наибольший прирост (более 100%) показали услуги по расследованию инцидентов, на них пришлось 4% от общего объема пентестов.

"Спрос на пентесты растет ежегодно примерно на 30%, однако сейчас рынок достиг рекордных показателей. По оценкам экспертов, к концу 2025 г. их количество увеличится в два раза по сравнению с прошлым годом, что объясняется ростом числа кибератак, в том числе с применением новых угроз и методов, а также усилением регуляторных требований (введение новых стандартов и ужесточение ответственности)", - гласит сообщение "МегаФона".

https://www.comnews.ru/content/240798/2025-08-20/2025-w34/1008/rossiysk…

По словам директора по развитию корпоративного бизнеса "МегаФона" Натальи Талдыкиной, у 32% протестированных компаний высокий уровень защиты от кибератак, средним обладают 23%, а оставшиеся 45% - низким. Она отметила, что пентесты - первый шаг к построению эффективной системы кибербезопасности, чьи результаты позволяют компании обнаружить слабые места в инфраструктуре и правильно выстроить защиту.

"Низкий уровень защищенности компаний зачастую связан с недостатком финансирования кибербезопасности, дефицитом специалистов и сложностями внедрения систем защиты. Еще один важный фактор - слабая культура информационной безопасности персонала, недостаточная осведомленность о рисках", - рассказал представитель пресс-службы "МегаФона".

https://www.comnews.ru/content/241079/2025-09-05/2025-w36/1008/kibermos…

Он заметил, что рынок пентестов продолжит расти и все больше компаний будут подходить к кибербезопасности проактивно, минимизируя риски. По его словам, спрос на пентесты растет, в среднем, на 30% в год, но после резонансных киберинцидентов, он преодолел эту отметку.

"О критических уязвимостях, выявленных при тестировании, мы сразу сообщаем клиенту и помогаем их устранить. Кроме того, большинство клиентов проводит повторные проверки, чтобы убедиться, что выявленные недостатки в защите устранены", - отметил представитель пресс-службы "МегаФона".

https://www.comnews.ru/content/240611/2025-08-14/2025-w33/1013/arkhitek…

Архитектор информационной безопасности UserGate uFactor ООО "Юзергейт" Дмитрий Овчинников отметил, что не все компании находятся на таком низком уровне. Он обратил внимание, что в РФ есть крупные организации, уже имеющие сильную и продвинутую службу информационной безопасности с внутренними командами пентестеров и они не прибегают к помощи на стороне.

"За подобной услугой часто обращаются, когда инцидент уже произошел или есть сомнения в ИБ-службе. А вот если говорить про малый и средний бизнес, то там положение с обеспечением ИБ действительно находится на очень низком уровне. Использование нелицензионного ПО, отсутствие обновлений, ошибки в настройке, невнимательность к базовым мерам кибербеза – все это как раз и сказывается на защищенности корпоративных информационных ресурсов", - рассказал он.

По словам Дмитрия Овичинникова, рынок аудита защищенности составлял около 2,7 млрд руб. в 2024 г. и с того момента он только вырос и достиг пика. Главная причина - многие ИБ-компании сформировали подразделения для таких работ и вышли с ними на рынок.

"Наличие на рынке средств защиты такого класса ПО как BAS свидетельствует о том, что есть потребность в быстрых и дешевых пентестах. Кроме того, многие компании стали предлагать аудит защищенности как часть пакета услуг. Поэтому рынок продолжает расти. Говорить о достижении плато можно будет только тогда, когда остановится рост цифровизации. Чем больше цифровых сервисов и услуг в сети "Интернет" – тем больше будет востребована эта услуга, в особенности на фоне стремительного изменения ландшафта киберугроз", - сказал он.

https://www.comnews.ru/content/240694/2025-08-14/2025-w33/1008/volki-ok…

Руководитель центра тестирования на проникновение ООО "Инностейдж" (Innostage) Александр Борисов отметил, что уровень защищенности компаний после пентестов растет.

"Рынок пентестов в России активно развивается, ежегодный прирост спроса на услуги тестирования на проникновение составляет около 30%. В большинстве случаев компании, получая детальные отчеты о найденных уязвимостях, начинают внедрять рекомендации по устранению, что улучшает их защиту и снижает риски инцидентов. Однако одновременно известны случаи, когда по разным причинам (зависимость от бюджета, недооценка рисков, отсутствие компетенций) рекомендации пентестеров остаются невыполненными, и уровень безопасности никак не меняется", - заключил ведущий аналитик отдела мониторинга ИБ ООО "Спикател" Алексей Козлов.

https://www.comnews.ru/content/241025/2025-09-03/2025-w36/1007/pozhertv…