С начала 2024 года в России вступили в силу обновленные требования к безопасной разработке программного обеспечения (РБПО), зафиксированные в ГОСТ Р 56939-2024. Однако, по оценке экспертов Swordfish Security, лишь 30% российских разработчиков обладают начальными знаниями в области РБПО. Остальным требуется комплексное переобучение.

"Сегодня начальные знания в области РБПО присутствуют лишь у 30% российских разработчиков. Остальным необходимо, что называется, "поступить в первый класс", — отмечает Екатерина Башарина, руководитель группы аудита и стратегии в Swordfish Security. По ее словам, основная угроза сегодня заключается в «дырявых» внутренних системах, уязвимость которых может быть использована злоумышленниками в обход классических механизмов защиты.

Особую тревогу вызывает ситуация в сфере государственных информационных систем и критической инфраструктуры, где сбои или атаки могут иметь масштабные последствия. Согласно наблюдениям Swordfish Security, многие компании теряют квалифицированных разработчиков, а их место занимают менее опытные специалисты, часто использующие нейросети без понимания рисков.

«Первая линия обороны — это разработчики. Их компетенции должны включать знание принципов безопасной архитектуры, умение выявлять уязвимости и работать в DevSecOps-среде. Без этого невозможно гарантировать устойчивость приложений к современным киберугрозам», — добавляют в Swordfish Security.

В компании отмечают, что для решения проблемы необходимо создавать центры компетенций по РБПО, расширять корпоративные программы обучения и внедрять требования к безопасности кода уже на этапе вузовской подготовки.

Подробнее в статье