В IT-сервисе для управления бизнесом «Битрикс24» обнаружили восемь уязвимостей

Сведения об уязвимостях появилась в Банке данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю (ФСТЭК). Банк создан регулятором для повышения информированности об угрозах безопасности.

В «1С-Битрикс» сообщили РБК, что еще в марте компания устранила все выявленные ФСТЭК уязвимости. Отчет об этих уязвимостях был опубликован лишь в ноябре (изначально угрозы обнаружила сингапурская STAR Labs), поскольку «белые хакеры» обычно предоставляют организации время для исправления проблем.

По словам представителя «1С-Битрикс», все облачные версии «Битрикс24» «давно обновлены и защищены от этих уязвимостей». Обновить необходимо установленные на оборудовании заказчиков коробочные версии. При этом, как утверждает представитель компании, ни одного обращения от клиентов, на которых могла повлиять информация об уязвимостях, организация не получала.

Первым на данные регулятора обратил внимание бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. Он отмечает, что в зону ответственности ФСТЭК входит техническая защита конфиденциальной информации в стране. Также в поле зрения ведомства попадают госорганы и владельцы критической информационной инфраструктуры.

«Если регулятор опубликовал данные об уязвимостях, то в соответствии с документами ФСТЭК эти уязвимости должны быть устранены. Для критичных уязвимостей срок устранения — 24 часа. Для менее критичных — от семи до 30 дней», — объяснил Лукацкий.

Сведения об уязвимостях вносятся в базу данных для запуска отсчета срока, в который компания должна принять меры.

Ранее Ассоциация больших данных, в которой состоят крупные российские  технологические компании, разработала концепцию отраслевого стандарта защиты данных. Она предполагает, в частности, проводить независимый аудит на соответствие этим стандартам. 

Фото на обложке: Gorodenkoff / Shutterstock