Почти половина (46%) российских веб-приложений содержат критические уязвимости, которые могут привести к утечке данных. Это следует из материалов компании «Солар» (входит в «Ростелеком»), данные которых приводят «Известия». Эти бреши опасны не только для частных, но и для корпоративных пользователей — если веб-приложение дает доступ к информационным системам компании, например к почте. Более половины проанализированных таких программ российских компаний были отмечены низким и средним уровнем защищенности.
Веб-приложения — это компьютерная программа, которая запускается прямо в браузере. В отличие от мобильных сервисов их не надо скачивать на устройства пользователей, также нет необходимости установки специальных приложений. С их помощью можно совершать платежи, оформлять и отменять подписки, заказывать товары, работать с документами и многое другое. Классические примеры — онлайн-банкинг, интернет-магазины, облачные сервисы для работы с файлами и документами.
Например, главными уязвимостями в финансовых веб-приложениях, которые всегда интересуют хакеров, являются недостаток контроля доступа, эта проблема встречается в 78% случаев. Также среди проблем веб-приложений там назвали недостаточное шифрование, небезопасная обработка или хранение конфиденциальной информации, такой как номера кредитных карт, пароли или персональные данные клиентов.
Проблема критических уязвимостей в российских веб-приложениях сегодня стоит особенно остро, учитывая стремительную цифровизацию бизнес-процессов и рост объема обрабатываемых данных, отмечает член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин.
«Почти половина таких приложений, по данным компании «Солар», содержит бреши, которые могут привести к утечке конфиденциальной информации. Это тревожный сигнал как для ИТ-специалистов, так и для топ-менеджмента компаний, особенно учитывая, что уязвимости часто затрагивают доступ к корпоративной почте, CRM и другим критически важным системам», - добавил депутат.
Причины низкой защищенности часто кроются в спешке при разработке, недостаточном тестировании и отсутствии культуры безопасности на уровне проектирования. «Многие организации недооценивают угрозу и продолжают использовать устаревшие решения без регулярного аудита безопасности. Между тем, уязвимости типа недостаточного контроля доступа, выявляемые в 78% случаев, указывают на системную проблему в подходах к архитектуре приложений. Это теоретически простые для устранения ошибки, которые, тем не менее, могут привести к серьезным инцидентам», - пояснил Немкин.
Особую опасность представляют финансовые веб-приложения, в которых обрабатываются платежные данные, пароли и другие персональные сведения. Недостаточное шифрование и небезопасное хранение информации ставят под угрозу не только пользователей, но и репутацию компаний. В условиях ужесточения законодательства о защите персональных данных такие инциденты могут повлечь за собой не только прямые убытки, но и значительные штрафы, напомнил Немкин.
«Сегодня бизнесу важно не просто внедрять цифровые каналы, но и обеспечивать их устойчивость к киберугрозам. Это требует комплексного подхода: внедрения DevSecOps-практик, регулярного тестирования на проникновение, обучения сотрудников и постоянного мониторинга инфраструктуры. Без этого цифровая трансформация может обернуться серьезными репутационными и финансовыми рисками», - заключил депутат.
Веб-приложения — это компьютерная программа, которая запускается прямо в браузере. В отличие от мобильных сервисов их не надо скачивать на устройства пользователей, также нет необходимости установки специальных приложений. С их помощью можно совершать платежи, оформлять и отменять подписки, заказывать товары, работать с документами и многое другое. Классические примеры — онлайн-банкинг, интернет-магазины, облачные сервисы для работы с файлами и документами.
Например, главными уязвимостями в финансовых веб-приложениях, которые всегда интересуют хакеров, являются недостаток контроля доступа, эта проблема встречается в 78% случаев. Также среди проблем веб-приложений там назвали недостаточное шифрование, небезопасная обработка или хранение конфиденциальной информации, такой как номера кредитных карт, пароли или персональные данные клиентов.
Проблема критических уязвимостей в российских веб-приложениях сегодня стоит особенно остро, учитывая стремительную цифровизацию бизнес-процессов и рост объема обрабатываемых данных, отмечает член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин.
«Почти половина таких приложений, по данным компании «Солар», содержит бреши, которые могут привести к утечке конфиденциальной информации. Это тревожный сигнал как для ИТ-специалистов, так и для топ-менеджмента компаний, особенно учитывая, что уязвимости часто затрагивают доступ к корпоративной почте, CRM и другим критически важным системам», - добавил депутат.
Причины низкой защищенности часто кроются в спешке при разработке, недостаточном тестировании и отсутствии культуры безопасности на уровне проектирования. «Многие организации недооценивают угрозу и продолжают использовать устаревшие решения без регулярного аудита безопасности. Между тем, уязвимости типа недостаточного контроля доступа, выявляемые в 78% случаев, указывают на системную проблему в подходах к архитектуре приложений. Это теоретически простые для устранения ошибки, которые, тем не менее, могут привести к серьезным инцидентам», - пояснил Немкин.
Особую опасность представляют финансовые веб-приложения, в которых обрабатываются платежные данные, пароли и другие персональные сведения. Недостаточное шифрование и небезопасное хранение информации ставят под угрозу не только пользователей, но и репутацию компаний. В условиях ужесточения законодательства о защите персональных данных такие инциденты могут повлечь за собой не только прямые убытки, но и значительные штрафы, напомнил Немкин.
«Сегодня бизнесу важно не просто внедрять цифровые каналы, но и обеспечивать их устойчивость к киберугрозам. Это требует комплексного подхода: внедрения DevSecOps-практик, регулярного тестирования на проникновение, обучения сотрудников и постоянного мониторинга инфраструктуры. Без этого цифровая трансформация может обернуться серьезными репутационными и финансовыми рисками», - заключил депутат.