Ръководителите на компании знаят за уязвимостите в своите ИТ системи. Те обаче принуждават специалистите по сигурност да мълчат за тях, твърди ново проучване на един от големите доставчици на решения за киберсигурност.
Над половината от компаниите, в чиито ИТ системи са открити уязвимости, мълчат. Техните шефове буквално изискват от специалистите по киберсигурност да крият информацията за уязвимостите, което увеличава риска от успешна хакерска атака.
Мълчанието не винаги е злато
Ръководителите на компании по целия свят често нареждат на своите специалисти по киберсигурност да се въздържат от разкриване на информация за уязвимости, открити в корпоративните ИТ системи. Това твърди доклад на компанията за сигурност BitDefender, публикуван в Hacker News.
Според доклада, 58% от специалистите по сигурност поне веднъж са били подлагани на натиск от ръководството да мълчат за открити течове и уязвимости. Мащабът на проблема очевидно е доста голям, тъй като броят на участниците в проучването на BitDefender, живеещи в различни страни, надхвърля 600. Докладът анализира данни от 700 000 киберинцидента.
Мениджърите, които принуждават специалистите по сигурност да крият информация за уязвимости и изтичане на данни, са напълно безразлични към въздействието, което подобна секретност може да окаже върху сигурността на потребителите.
Според анализаторите на доклада, тази култура на секретност подкопава доверието в компанията и готовността на нейните ИТ експерти и специалисти по информационна сигурност за извънредни ситуации.
Приоритет на репутацията пред прозрачността
Практиката за прикриване на проблеми с киберсигурността не само забавя времето за реакция при инциденти, но и допринася за запазване на уязвимостите, тъй като организациите дават приоритет на репутацията пред прозрачността.
Според BitDefender, причината шефовете на компании да заставят специалистите по сигурността да мълчат за проблемите, е, че разкриването на такава информация се отразява негативно на репутацията на организацията.
Проблемът обаче се задълбочава. Само през последните две години, от 2023 до 2025 г., броят на киберинцидентите, за които шефовете на компании са наредили на специалистите по информационна сигурност да мълчат, се е увеличил с повече от една трета. През този период броят на инцидентите като цяло се е увеличил с почти 40%.
Междувременно, подобна политика, ако помага на една компания да запази репутацията си, има само краткосрочен ефект. Докладът посочва, че в крайна сметка запазването на проблемите със сигурността в тайна ще доведе до проблеми с доверието не само сред служителите, но и сред клиентите на тези компании.
Ефектът плацебо не работи
Според доклада на BitDefender, в някои случаи лидерите твърдо вярват, че тяхната ИТ инфраструктура е сигурна и, че киберсигурността на компанията им е внедрена на много високо ниво. Това е мнението на 45% от анкетираните мениджъри.
За сравнение, само 19% от служителите на средно ниво споделят същата увереност в сигурността на ИТ инфраструктурата на компанията си.
Резултатите от проучването отразяват констатациите от скорошни индустриални проучвания. Докладът на Световния икономически форум „Глобална киберсигурност: Перспективи 2025“ отбелязва разширяващи се пропуски в киберустойчивостта и, че скритите нарушения изострят системните рискове.
Външни и вътрешни заплахи
Данните от доклада на BitDefender показват, че ръководителите на компании най-често се страхуват от външни заплахи за информационната сигурност – особено от хакери, които се опитват да ги атакуват с помощта на рансъмуер или специализиран зловреден софтуер, използващ изкуствен интелект.
Проблемът обаче може да се крие и в самата организация. Притеснение буди, например, ниското ниво на някои специалисти по информационна сигурност. Често уменията на кандидатите за свободни работни места в отдела по киберсигурност не отговарят на изискванията на работодателите.
Вторият проблем е ниското ниво на киберграмотност сред обикновените служители. Те правят най-тривиални грешки, които впоследствие водят до хакерски атаки.
Освен всичко друго, редовно използват служебен имейл и прости, многократно използваеми пароли, за да се регистрират за услуги на трети страни. Хакерите купуват или получават тези данни безплатно и след това свободно проникват в инфраструктурите на компаниите.
