11/04/25
«К2 Кибербезопасность» и Positive Technologies провели исследование подходов бизнеса к безопасной разработке собственного ПО: мобильных и бизнес-приложений, финансовых и учетных систем, специализированных отраслевых промышленных решений и т. д. Респондентами выступили руководители ИТ и ИБ разных уровней из 103 крупных российских компаний следующих отраслей: промышленность, финансовый сектор, телеком, ИТ, ритейл и FMCG, транспорт и логистика, строительство, медицина и фармацевтика, образование и медиа.
Согласно результатам опроса, 83% корпораций уделяют внимание безопасной разработке. Более половины (59%) тех, у кого такой процесс пока отсутствует, видят потребность в его построении. Безопасность разработки чаще (в 48% компаний) остается в зоне ответственности ИТ-отдела, у 41% респондентов за это направление отвечает подразделение ИБ.
В почти половине (49%) корпораций заявили, что они используют отечественные решения для безопасной разработки собственного ПО. Причем 30% используют исключительно решения отечественных вендоров, 19% — и отечественных и зарубежных, 19% — только зарубежных. Те, кто перешел на отечественные решения, при выборе ориентировались прежде всего на их доступность на рынке, включая техподдержку и обновления. Тем не менее опрошенные отметили, что на рынке пока нет комплексных российских платформ для обеспечения безопасной разработки.
«В качестве основы своих приложений 65% респондентов используют гибкую микросервисную архитектуру на базе контейнеров. Это позволяет бизнесу быстрее выводить продукты на рынок и повышать конкурентоспособность, а разработчикам — упрощать управление и автоматизацию развертывания приложений. При этом контейнеры пользуются популярностью и у злоумышленников. Поэтому мы видим, что компании все активнее инвестируют в методологию безопасной разработки (DevSecOps), в том числе и для защиты контейнеров, на самых начальных этапах, чтобы минимизировать риски и предотвратить серьезные инциденты. Это гораздо дешевле и эффективнее, чем устранять последствия кибератак», — рассказал Вадим Католик, руководитель направления защиты данных и приложений в «К2 Кибербезопасность».
«Рост интереса к безопасной разработке, который мы наблюдаем в 83% компаний, подтверждает, что бизнес осознает: защита ПО на этапе создания — это не просто тренд, а необходимость. При этом 49% корпораций уже делают ставку на отечественные решения, что говорит о стремлении к технологической независимости. Сегодня, когда DDoS-атаки и утечки данных возглавляют список угроз, а контейнеризация и автоматизации наращивает темпы, интеграция безопасности в жизненный цикл становится критически важной для защиты бизнеса пользователей ПО», — прокомментировала исследование Светлана Газизова, директор по построению процессов DevSecOps в Positive Technologies.
Чаще всего (42% респондентов) компании используют инструменты анализа кода и тестирования безопасности приложений (SAST, DAST, IAST). Популярностью также пользуются сканеры уязвимостей (19%) и платформенные решения (13%), среди которых, по мнению респондентов, есть достойные отечественные продукты.
Самыми актуальными и опасными угрозами для безопасности собственных разработок 24% опрошенных назвали DDoS-атаки, а 15% — утечки данных (и как метод проведения атаки, и как ее последствие). Среди угроз респонденты также выделили атаки нулевого дня (zero-day), вирусы, связанные с ошибками сотрудников при эксплуатации решений, устаревшие компоненты, нарушение контроля доступа, уязвимости в открытом коде.
Компании, принявшие участие в опросе, разрабатывают широкий спектр ИТ-решений и продуктов, охватывающих различные области и потребности рынка. Среди наиболее популярных направлений разработки они выделили: бизнес-приложения, к которым относятся CRM-, ECM-, ERP- и WMS-системы (23%); специализированные отраслевые промышленные решения и продукты — ПО для проектирования, PLM, средства автоматизации (14%); финансовые и учетные системы — биллинг, финтех (12%).
