Вендоры не успевают устранять уязвимости ПО

Российские компании, занимающиеся разработкой софта, не успевают устранять уязвимости в своих продуктах в сроки, установленные ФСТЭК. Несоблюдение регламентов грозит лишением сертификатов. 

Как пишет «Коммерсантъ» со ссылкой на представителя ФСТЭК, вендоры регулярно нарушают требования регламента, который предполагает включение информации об уязвимостях в «Банк данных угроз безопасности информации» ФСТЭК. Согласно этому предписанию, разработчики должны устранить потенциальную уязвимость в течение 30 или 60 дней – срок зависит от критичности угрозы. 

– Службы технической поддержки российских вендоров должны реагировать молниеносно на требования заказчиков, но все чаще и чаще возникает ситуация, когда обратной связи по средствам защиты недостаточно, – заявил заместитель руководителя ФСТЭК Виталий Лютиков. 

Эксперты, опрошенные «Ъ», отмечают, что российские разработчики нередко вдвое превышают установленные сроки реагирования. По их словам, это может привести к отзыву сертификатов, соответственно, вендоры лишатся государственных заказчиков, для которых наличие сертификата – обязательное условие. 

Причины долгого исправления уязвимостей, по мнению специалистов, заключаются в том, что техническая поддержка не справляется с повышенной нагрузкой, которую вызвал увеличившийся спрос на российские продукты. Кроме того, многие решения отечественных вендоров разработаны на основе открытого кода, и чтобы внести в него изменения, требуется много времени. Отметим, что, по данным Naumen, 70% российских компаний используют low-code решения, которые позволяют им создавать цифровые продукты из готовых блоков кода.