Основные статьи:
2024: Законопроект о легализации деятельности пентестеров в РФ принят в первом чтении
Законопроект, который предлагает внесение поправок в статью 1280 части четвертой Гражданского кодекса РФ для легализации деятельности специалистов по информационной безопасности или пентестеров в России, прошел первое чтение в Госдуме. Об этом 16 октября 2024 года сообщила пресс-служба члена комитета ГосДумы РФ по информационной политике, информационным технологиям и связи Антона Немкина.
Авторы законопроекта - представители партийного проекта «Цифровая Россия» Антон Немкин, Геннадий Панин, Игорь Марков и комитета Госдумы по информационной политике Вячеслав Петров и Антон Ткачев – предлагают внести ряд поправок в статью 1280 части четвертой Гражданского кодекса РФ.Как «Полюс» отказывается от SAP. Опыт российского лидера золотодобычи представлен на TAdviser SummIT 
Один из авторов законопроекта, Антон Немкин, выступая на пленарном заседании Госдумы, напомнил, что 37% российских компаний подвергаются атакам хакеров минимум раз в месяц. Только за первую половину 2024 года количество DDoS-атак на российские организации выросло до 355 тысяч, что на 16% больше, чем за весь 2023 год. При этом под ударом зачастую оказываются объекты критической информационной инфраструктуры. Например, в сентябре 2024 года количество DDoS-атак на [телекоммуникация и связь|телеком]]-компании выросло на 74%.
 | На фоне увеличившегося количества кибератак нашим государственным органам и компаниям уже мало просто иметь собственный штат ИТ-специалистов, важно систематически проводить аудит защищенности своих систем при помощи независимых профессионалов – так называемых пентестеров. Их работа должна стать такой же необходимой и систематической, как например, независимый внешний аудит финансовой отчетности или сторонние юридические проверки бизнеса. Особенно это важно, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам, - отметил депутат. |  |
По словам Немкина, поправки в статью 1280 Гражданского кодекса - первый из пакета подготовленных законопроектов, направленных на регулирование работы пентестеров, которые не спешат выходить из тени в виду существующих рисков привлечения к ответственности.
Так, для проведения тестирования защищенности систем российских компаний пентестерам требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы. Выполнение тестирования без таких разрешений может повлечь нарушение авторских прав, и их могут обязать выплатить компенсации в размере от 10 тысяч рублей до 5 миллионов рублей, либо в двукратном размере стоимости права использования соответствующей программы.
| | Нашим законопроектом предусмотрена возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром программы для ЭВМ, либо лицом, действующим по его поручению, в целях выявления его уязвимостей для исправления явных ошибок. При этом указанные действия осуществляются исключительно в отношении программ, функционирующих на технических средствах пользователя. С целью защиты прав и интересов правообладателей программы, мы предусмотрели запрет на передачу информации о выявленных недостатках третьим лицам. В то же время мы предлагаем установить обязанность лица, выявившего недостатки, сообщить о них правообладателю в течение пяти рабочих дней со дня их выявления, - пояснил Немкин. | |
На октябрь 2024 года в онлайн-пространстве действуют уже не сотни, а десятки тысяч хакеров, большинство из них поддерживаются и финансируются спецслужбами недружественных стран. Их цель – любой ценой украсть персональные данные граждан, которые потом будут использованы в противоправных целях, а также через уязвимости добиться вывода из строя критически важных систем. В случае успеха таких атак последствия могут быть катастрофическими и затронут миллионы граждан, если заранее не принять меры для их недопущения.
| | Пентестеры работают на то, чтобы определить логику потенциальных хакеров-преступников, модифицировать уязвимые места и усилить защиту информационных систем и ресурсов. Поэтому трансформация законодательства в части их работы особенно актуальна, - заключил парламентарий. | |
2023: Проанализированы тенденции российского рынка анализа защищенности
Компания Angara Security проанализировала более 200 реализованных проектов и конкурсных процедур в сфере анализа защищенности за 2022-2023 гг. Основные выводы исследования:
- Около 60% проектов по анализу защищенности реализуется в рамках двух ценовых сегментов: от 500 тыс. рублей до 1 млн рублей (23,7%) и от 1 млн до 2 млн рублей (37%).
- По сравнению с 2022 годом доля проектов в отмеченных ценовых сегментах выросла в среднем на 65%.
- Услуги анализа защищенности наиболее востребованы среди финансовых организаций и страховых компаний (около 40% проектов и конкурсных процедур), телеком- и ИТ-компаний (28,8%).
В число наиболее востребованных услуг в сфере анализа защищенности вошли такие направления:
Бюджет от 500 тыс. до 1 млн рублей: услуги внешнего и внутреннего пентеста, анализ защищенности веб- и мобильных приложений. Рост числа проектов в этой ценовой категории аналитики Angara Security связывают с запросами на проверку уровня защищенности пользовательских цифровых сервисов и приложений, а также с интересом со стороны компаний малого и среднего бизнеса, ИТ-разработчиков, которые ранее не уделяли особого внимания информационной безопасности.
Бюджет от 1 млн до 2 млн рублей: чаще всего в эту категорию входят услуги, которые требуют автоматизированного анализа защищенности и экспертного подхода к оценке рисков и управлению уязвимостями. К ним относятся услуги анализа кода, социотехнические исследования, тестирование с помощью инструментов социальной инженерии, мониторинг защищенности внешнего периметра, критических информационных систем.
| | Рост проектов в этой категории чаще связан с повторными обращениями заказчиков, которые уже имеют опыт проведения пентестов, понимают, какой результат им необходим от такого типа тестирования и повышают требования к экспертизе и опыту команды, организующей оценку защищенности, — сказал Андрей Макаренко, руководитель отдела развития бизнеса Angara Security. | |
Аналитики также отмечают спрос на решения для мониторинга эффективности средств защиты информации на внешнем периметре, поэтому на рынке также востребованы услуги комплексной симуляции кибератак (red team) с проверкой реакции сотрудников внутренних SOC-центров и ИБ-подразделений в филиалах крупных компаний.
| | Также растет спрос на анализ защищенности в режиме "белого ящика". Такие пентесты выявляют практически все уязвимости приложений и имеют наибольшую эффективность. При этом предъявляются высокие требования к профессионализму, обучению и сертификации команды исполнителей, − дополнил Михаил Сухов, руководитель отдела анализа защищенности Angara Security. | |
Среди перспективных направлений в сфере анализа защищенности аналитики Angara Security также отмечают автоматизацию проверок, которые могут проводиться без привлечения экспертов, а также объединение в комплексные услуги пентестов инструментов OSINT и анализа фишинговых атак, управление поверхностью атаки внешнего периметра, сопоставление актуальных для отрасли техник и атак.
