Партнерство ради безопасности: роль сторонних компаний в улучшении программных продуктов

30.05.25, Пт, 14:47, Мск,

На фоне грядущих изменений в законодательстве, ужесточающих меры за нарушения в области информационной безопасности, которые вступают в силу с 1 июня, вопросы защиты данных становятся одной из ключевых задач для компаний-разработчиков. Но несмотря на усилия внутренних команд, им бывает непросто справляться с этой задачей самостоятельно. О том, как сторонние компании помогают разработчикам оперативно выявлять уязвимости, а также улучшать качество и защищенность программных продуктов, рассказывает специалист в области R&D Чернышев Павел, Руководитель R&D компании ООО «ИТСофт» (ГК Информтехника).

Содержание

Ключевые угрозы и вызовы безопасности ПО

Разработчики и пользователи программного обеспечения ежедневно сталкиваются с множеством угроз, каждая из которых имеет свою специфику и потенциальную опасность. Рассмотрим самые значимые из них:

Эксплойты уязвимостей. Одна из основных проблем, связанных с безопасностью ПО. Атакующие могут использовать известные или вновь обнаруженные уязвимости для получения несанкционированного доступа к данным и системам. Примеры таких уязвимостей:

  • RCE (Remote Code Execution)атака, позволяющая удаленно исполнить произвольный код на целевом устройстве. Такие уязвимости могут приводить к полной компрометации системы;
  • SQL-инъекции — вид атаки, направленный на базы данных, который заключается во вставке вредоносного SQL-кода в запросы к базе данных. Это может привести к краже, изменению или уничтожению данных.

Злоупотребление правами доступа. Такая ситуация чаще всего возникает из-за недостатка контроля за доступом к данным и функциям программы. Даже если программа работает корректно, неправильная настройка прав может позволить злоумышленникам получить доступ к конфиденциальной информации или изменить важные параметры системы. Например, недостаточно ограниченный доступ к административным панелям может привести к утечке личных данных пользователей или вмешательству в работу системы.Тренды и прогнозы в 1С 2026: от автоматизации к интеллектуальным системам 14.6 т

Фишинг и социальная инженерия. Эти угрозы связаны с человеческим фактором. Фишинговые атаки направлены на обман пользователей, чтобы заставить их раскрыть личные данные или установить вредоносное программное обеспечение, а социальная инженерия подразумевает манипуляции людьми с целью получения доступа к информации или системам. Оба метода могут привести к компрометации учетных записей и внедрению вредоносного кода через внешние каналы.

Устаревшее программное обеспечение. Использование устаревших версий программного обеспечения со всем известными уязвимостями значительно увеличивает вероятность успешных кибератак. Многие уязвимости имеют готовые патчи — набор изменений или дополнений к исходному коду программы, которые закрывают их, предотвращая эксплуатацию слабых мест программы злоумышленниками. Однако, если обновления не устанавливаются вовремя, система остается открытой для эксплойтов. Особенно критично это для крупных корпоративных систем, где обновление всего парка ПО может занимать значительное время.

Среди всех угроз особо выделяются те, которые позволяют атакующему получить доступ к данным или системе без какого-либо взаимодействия с пользователями. К таким уязвимостям относятся, например, ошибки в сетевой архитектуре или небезопасные протоколы передачи данных. Они предоставляют злоумышленнику полный контроль над системой без необходимости физического контакта с жертвой. Для защиты от них требуется регулярное обновление ПО, контроль прав доступа, обучение персонала и применение современных методов тестирования безопасности.

Роль внешних экспертов в обеспечении безопасности

Самостоятельное обеспечение высокого уровня безопасности программного обеспечения может представлять собой сложную задачу для многих компаний-разработчиков по ряду объективных причин:

  • Отсутствие достаточной экспертизы: в вопросах кибербезопасности нужно постоянное обновление знаний и навыков, что не всегда возможно для команд-разработчиков, ориентированных на функциональность;
  • Комплексность угроз: с каждым годом угрозы становятся более сложными и разнообразными, что требует постоянного мониторинга и реагирования на новые типы атак;
  • Ресурсы: не все компании имеют достаточные финансовые и человеческие ресурсы для внедрения комплексной безопасности на всех этапах разработки;
  • Проблемы с интеграцией: обеспечение безопасности требует интеграции с другими системами, что может быть сложно из-за несовместимости различных технологий.

Сотрудничество с внешними специалистами по кибербезопасности, как запланированное, так и вынужденное, позволяет выявлять и устранять неочевидные на первый взгляд критические уязвимости и функциональные проблемы, делая программные продукты максимально безопасными и удобными для пользователей.

Оперативная реакция на угрозы

Отраслевые специалисты по кибербезопасности имеют возможность быстро выявлять уязвимости программных продуктов и доносить эту информацию до разработчиков. Их основные преимущества:

  • Профессиональная экспертиза: они обладают глубокими знаниями и опытом в области безопасности, что позволяет давать рекомендации по повышению уровня защиты программного обеспечения;
  • Объективность: сторонние компании смотрят на программные продукты со стороны и могут выявить уязвимости, которые могли быть упущены внутренними разработчиками;
  • Возможность учитывать тренды: узкие специалисты постоянно отслеживают новейшие угрозы и методы защиты, что в итоге помогает учитывать последние тенденции в области кибербезопасности при разработке и модернизации ПО.

Сотрудничество с ними позволяет разработчикам максимально оперативно реагировать на возникающие угрозы и повышать уровень защиты своих продуктов. Отраслевые эксперты по кибербезопасности регулярно проводят анализ программного обеспечения и инфраструктуры различных компаний, выявляя потенциальные слабые места и уязвимости. После обнаружения проблем разработчики получают уведомление и немедленно начинают их устранение, включая выпуск обновлений и патчей для устранения выявленных уязвимостей.

Эти обновления могут включать не только исправления конкретных ошибок, но и дополнительные меры по повышению безопасности, такие как улучшенные алгоритмы шифрования, усиление аутентификации и внедрение новых методов защиты от атак. Кроме этого, разработчики проводят дополнительные тесты и оценки безопасности, чтобы убедиться, что внесенные изменения действительно соответствуют современным требованиям защищенности. Если необходима дополнительная доработка программного обеспечения, такие задачи включаются в дорожную карту компании-разработчика для дальнейшего улучшения продукта. Таким образом, сотрудничество с внешними экспертами позволяет эффективно справляться с потенциальными угрозами.

Пример успешного партнерства

В конце прошлого года компания «ИТСофт» — разработчик корпоративного мессенджера РОСЧАТ — столкнулась с угрозой утечки информации в своем продукте. Специалисты в области кибербезопасности компании «Сайбер ОК» обнаружили уязвимость, которая теоретически позволяла извлечь из мессенджера уже неактуальные данные сотрудников компании, использующих РОСЧАТ, через отправку специального GET-запроса. Информация по уязвимости была получена 24 декабря 2024 года и устранена в тот же день. Все пользователи получили автоматическое обновление до версии без уязвимости.

«
`Уязвимость заключалась в некорректной обработке данных сотрудников при сборке программного обеспечения. Она изначально не представляла критической опасности для пользователей, так как не допускала доступа к серверу, вмешательства в переписку или информационные системы безопасности заказчиков, и благодаря нашим коллегам была оперативно устранена. Для поддержания высокого уровня защищенности мессенджера от внешних угроз мы активно взаимодействуем с экспертами по кибербезопасности, проводим внутренние аудиты и сотрудничаем с независимыми специалистами. Это помогает обеспечивать безопасность и качество нашего продукта.

Регулярное взаимодействие компаний-разработчиков с отраслевыми специалистами способствует формированию культуры безопасности как в профессиональной среде, так и среди конечных пользователей программными продуктами, что, в свою очередь, повышает общую устойчивость к киберугрозам`.

Чернышев Павел, Руководитель R&D компании ООО «ИТСофт»
»

Источник — «https://www.tadviser.ru/index.php/%D0%9D%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8:%D0%9F%D0%B0%D1%80%D1%82%D0%BD%D0%B5%D1%80%D1%81%D1%82%D0%B2%D0%BE_%D1%80%D0%B0%D0%B4%D0%B8_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8:_%D1%80%D0%BE%D0%BB%D1%8C_%D1%81%D1%82%D0%BE%D1%80%D0%BE%D0%BD%D0%BD%D0%B8%D1%85_%D0%BA%D0%BE%D0%BC%D0%BF%D0%B0%D0%BD%D0%B8%D0%B9_%D0%B2_%D1%83%D0%BB%D1%83%D1%87%D1%88%D0%B5%D0%BD%D0%B8%D0%B8_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%BD%D1%8B%D1%85_%D0%BF%D1%80%D0%BE%D0%B4%D1%83%D0%BA%D1%82%D0%BE%D0%B2»

Править
Продажи ветеринарных препаратов в России за год выросли на 17,7% и достигли ₽49,1 млрд. Структура
Заболеваемость раком груди среди россиянок за год выросла до 84,5 тыс. человек
Объем мирового рынка устройств для электротерапии за год вырос до $23,8 млрд
Производитель бионических протезов Steplife привлек 200 млн рублей в рамках pre-IPO
VINTEO T2: отечественный терминал для гибридных коммуникаций
Андрей Врацкий, eXpress: Потребность в мессенджерах начинает догонять потребность в видеоконференциях
Импортозамещение ПО в России: ключевые поставщики, крупные проекты, оценки и перспективы. Обзор TAdviser
Конференция TAdviser "ИТ в промышленности" состоится 18 марта
Владимир Андреев, Docsvision: Выбор СЭД сегодня — это выбор основы для сквозной автоматизации на годы вперед
Конференция TAdviser «IT Retail & Ecom Day 2026»
Виктор Урусов, Скала^р: В 2026 году на рынке ИИ-инфраструктуры начнется активный рост
TAdviser приглашает на конференцию «Импортозамещение 2026: Реальный опыт»
X5 встал на путь ИИ-агентизации. Михаил Неверов, директор по развитию ИИ — о перспективных практиках, внедряемых в компании
Импортозамещение 2.0: как low-code и no-code меняют рынок ИТ-услуг
Модус: когда CRM перестает быть системой и становится платформой для развития бизнеса
TAdviser выпустил Карту «Российские производители телеком-оборудования»
Автоматизированные риск-системы для банков: все потребности риск-подразделения в одной платформе
TAdviser выпустил новую Карту российского рынка информационной безопасности: 290 разработчиков и поставщиков услуг
Конференция TAdviser "IT Security & NGFW Day" состоится 25 марта
МТС Exolve создал для бизнеса роботов нового поколения
«Базис» сертифицировал платформы Digital Energy и Virtual Security по требованиям ФСТЭК
Карта сценариев использования ИИ в CRM — исследование BPMSoft
Больше чем просто импортозамещение: 7 историй о том, как российское «железо» меняет науку и бизнес
Дмитрий Ткачев, CURATOR: Наша задача — не отбить DDoS-атаку, а обеспечить бесперебойность бизнеса
UC-платформа eXpress: новые возможности для задач бизнеса
Как меняется рынок тестирования ПО в России. Максим Ковтун, IBS — о трендах, особенностях спроса и влиянии ИИ
CISO Faberlic Вадим Смирнов — о приоритетах и планах развития кибербезопасности
Конференция TAdviser «ИТ в промышленности 2026»
Крупнейшие аутсорсеры поддержки решений SAP в России. Рейтинг TAdviser
Защита от DDoS-атак за 15 минут: обзор CURATOR.ANTIDDOS
Антон Юдин, Скала^р (Группа Rubytech): Применение ПАК — оптимальный подход для перехода к Индустрии 4.0
Николай Гузаков, EcoRouter: Российское телеком-оборудование вышло на критические участки инфраструктуры
Бессмертный полк онлайн 2025: как была разработана платформа цифрового шествия к 80-летию Победы
Топ-3 инструмента для быстрого и безопасного взаимодействия с клиентами
Сергей Коледа, «КРЕДО-ДИАЛОГ»: Инженерная отрасль очень восприимчива к инновациям и при этом очень осторожна
Цифровизация коммуникаций в химической отрасли: как в ФосАгро совершенствуют рабочее взаимодействие сотрудников
Отраслевые ПАК — драйвер технологического суверенитета и устойчивого развития российской ИТ‑системы через локализацию решений
Как крупнейший банк из топ-3 построил расчетный центр на YDB СУБД Яндекса
WMS: От хаоса к контролю. Почему система управления складом — это не «волшебная палочка», а инструмент исполнения логистики
Сергей Симоненко, ОТП Банк: Мы сократили time-to-market в 4 раза, полностью изменив подход к разработке и тестированию
Как снизить процент брака за счет цифровизации обсудили на TAdviser SummIT в сессии "ИТ в промышленности"
Регистрация на конференцию "СЭД И ECM DAY 2026" 25 февраля
Российский рынок информационной безопасности: оценки, тренды, перспективы. Обзор TAdviser
Конференция "ИТ-приоритеты 2026" 11 февраля. Идет регистрация
Сессия «Информационная безопасность» TAdviser SummIT: разбираем стресс на байты и защищаемся от кибергруппировок
Российский рынок цифровизации HoReCa: оценки и технологии. Обзор TAdviser