Опрос «Какие уязвимости встречаются в ваших приложениях?»

К какому классу приложений относится ПО, разрабатываемое/используемое в вашей компании?

Мобильные, серверные и веб-приложения для заказчиков Внутренние бизнес-системы компании (CRM, бухгалтерские системы, кадровое ПО и т.п.) Внутренние мобильные и веб-приложения для сотрудников Другое

Как часто ваша компания проверяет используемое/разрабатываемое ПО на уязвимости?

Постоянно в процессе разработки новой версии – анализ кода встроен в наш процесс разработки При приемке каждой новой версии от компании-подрядчика Сканируем приложения раз в полгода – для наших нужд этого достаточно Не проверяем От случая к случаю Другое

Какие уязвимости чаще всего встречаются в приложениях вашей компании по итогам анализа кода? Выберите один или несколько вариантов ответов.

Инъекционные атаки (Injections)
Нарушенная аутентификация (Broken Authentication)
Незащищённость критичных данных (Sensitive Data Exposure)
Внешние объекты XML (XXE) (XML External Entities (XXE))
Нарушение контроля доступа (Broken Access control)
Небезопасная конфигурация (Security misconfigurations)
Межсайтовый скриптинг (XSS) (Cross Site Scripting (XSS)) Небезопасная десериализация (Insecure Deserialization) Использование компонентов с известными уязвимостями (Using Components with known vulnerabilities) Неэффективный мониторинг (Insufficient logging and monitoring) Другое

Уязвимости какого уровня критичности вы устраняете в обязательном порядке?

Устраняем все уязвимости высокой критичности Устраняем все уязвимости высокой и средней критичности Устраняем все уязвимости, в том числе низкой критичности Другое

Считаете ли вы, что вашей компании необходимо усилить процессы мониторинга и устранения уязвимостей?

Да, мы предпринимаем соответствующие меры Да, но, к сожалению, в текущий момент в компании не планируются меры по усилению данных процессов Нет, нам достаточно текущих инструментов Другое

Приводили ли уязвимости в ПО компании к каким-либо значимым инцидентам ИБ? Выберите один или несколько вариантов ответов.

Да, через уязвимость была совершена попытка атаки на инфраструктуру компании
Да, уязвимость привела к утечке конфиденциальных данных
Да, через уязвимость приложения ИТ-ресурсы компании были заражены вредоносным ПО
Нет, не приводили
Другое

Приводили ли инциденты с уязвимостями в ПО к финансовому ущербу для вашей компании? Выберите один или несколько вариантов ответов.

Да, в результате отказа заказчика от использования нашего ПО
Да, в результате штрафных санкций со стороны заказчика за инцидент
Да, в результате дополнительных ресурсных затрат на устранение уязвимостей
Да, в результате падения курса акций компании
Нет, не приводили
Мне об этом не известно
Другое

Приводили ли инциденты с уязвимостями в ПО к репутационному ущербу для вашей компании?

Да, инцидент стал публичным Да, об инциденте стало известно определенному кругу компаний (или лиц), чьим доверием компания дорожит Нет

Укажите отрасль, в которой работает ваша компания

Финансовая Производство Ритейл IT Другое

Укажите размер вашей компании

До 500 сотрудников 500 – 1000 сотрудников Свыше 1000 сотрудников