Зачем я тестирую безопасность бизнес-софта перед покупкой
Вы покупаете корпоративный мессенджер, CRM-систему или мобильное приложение для учета склада за пару тысяч долларов в год, искренне веря, что ваши коммерческие тайны останутся внутри компании.
Илья Рябов, Обозреватель мобильного рынка и охотник за мелким шрифтом·Обновлено: 14 июня 2026 г.·7 мин
Я регулярно вижу, как бизнес наступает на эти грабли, доверяя красивым презентациям и плашкам «Проверено» в магазинах приложений. Пора снять розовые очки. Популярность софта в App Store или Google Play не делает его безопасным по умолчанию — модераторы сторов проверяют программы на соответствие своим правилам, а не на отсутствие уязвимостей в вашей корпоративной сети. Ниже я подробно разберу, как проверить софт и зачем я тестирую безопасность бизнес-софта перед покупкой, чтобы не слить данные клиентов и не получить гигантские штрафы от регуляторов.
---
Почему доверие к вендору не заменяет технический аудит: риски утечек и компрометации данных
Когда отдел продаж IT-компании присылает коммерческое предложение, там обязательно будет пункт про «беспрецедентную безопасность» и соответствие всем мыслимым стандартам. На практике эти заявления часто оказываются банальной ширмой. Вендорам нужно продавать продукт здесь и сейчас, поэтому они спешат выкатить новые фичи, забивая на базовую гигиену разработки. Запомните: наличие красивого сертификата безопасности на сайте разработчика не гарантирует защиту от взлома на 100%. Это лишь бумажка, показывающая, что в определенный момент времени компания прошла формальный аудит.
Если вендор уверяет вас, что его софт абсолютно неуязвим, — он либо врет, либо сам не знает, как работает его продукт. В кибербезопасности нет понятия «абсолютная защита», есть лишь приемлемый уровень риска, который вы должны оценить до того, как переведете деньги.
Если не проводить технический аудит перед сделкой, вы рискуете столкнуться с целым букетом проблем:
* Утечка персональных данных сотрудников и клиентов. Это прямая дорога к репутационному краху и искам.
* Компрометация инфраструктуры. Дырявое мобильное приложение может стать бэкдором (скрытым входом) для проникновения во внутреннюю сеть компании.
* Потеря интеллектуальной собственности. Базы данных, чертежи, финансовые отчеты — всё это улетит конкурентам из-за одной незакрытой уязвимости.
Вендор хочет просто продавать лицензии и доить базу клиентов, собирая ежемесячную подписку. Разгребать последствия утечки придется именно вам. Поэтому независимый аудит — это не паранойя, а здравый расчет.
---
Анатомия уязвимостей: зачем нужны SAST, DAST и SCA при выборе корпоративного ПО
Для оценки надежности софта специалисты используют три основных метода анализа. Не нужно быть гением программирования, чтобы понять их суть, но знать эти аббревиатуры при общении с IT-департаментом вы обязаны.
1. SAST (Static Application Security Testing) — статический анализ кода. Это проверка приложения «изнутри», без его запуска. Специальный софт сканирует исходный код (или бинарный файл) на предмет известных ошибок, кривых костылей и жестко прописанных в коде паролей (hardcoded credentials). Представьте, что вы проверяете чертежи здания до начала строительства — SAST ищет проектные ошибки.
2. DAST (Dynamic Application Security Testing) — динамический анализ. Приложение запускают в изолированной среде (песочнице) и пытаются взломать методами, которые используют реальные хакеры. Это проверка «снаружи». Система имитирует атаки, шлет некорректные запросы и смотрит, как ведет себя софт — упадет ли он, выдаст ли конфиденциальные данные или сработает штатно.
3. SCA (Software Composition Analysis) — анализ состава ПО. Этот инструмент сканирует приложение на наличие сторонних библиотек и компонентов. Зачем это нужно, мы подробно разберем ниже, но если коротко — это проверка «ингредиентов» вашего цифрового пирога на токсичность.
| Метод тестирования | Что проверяет | Когда применяется | Главный плюс |
|---|---|---|---|
| SAST (Статический) | Исходный код приложения без запуска | На этапе разработки или при наличии исходников от вендора | Находит структурные ошибки и забытые пароли в коде |
| DAST (Динамический) | Работающее приложение в процессе выполнения | Перед покупкой готового решения (black-box тестирование) | Показывает реальную уязвимость приложения к атакам |
| SCA (Анализ состава) | Сторонние библиотеки и open-source компоненты | На всех этапах оценки софта | Выявляет устаревшие и уязвимые модули других разработчиков |
Идеальный сценарий — когда бизнес-приложение тестируется с использованием всех трех подходов. Если вендор отказывается предоставить результаты таких тестов или не дает провести DAST-тестирование на тестовом сервере, это серьезный повод задуматься о смене поставщика.
---
Проблема «чужого кода»: как 70% приложений становятся уязвимыми из-за сторонних библиотек
Современная разработка мобильного софта похожа на сборку конструктора LEGO. Никто не пишет приложения с нуля. Разработчики берут готовые блоки — библиотеки с открытым исходным кодом (open-source), чтобы быстро прикрутить авторизацию через соцсети, аналитику, push-уведомления или обработку картинок.
Согласно отчетам по кибербезопасности от OWASP и Synopsys, более 70% современных приложений содержат сторонние компоненты. И именно здесь кроется главная опасность. Вендор может идеально написать свой собственный код, но использовать при этом устаревшую библиотеку пятилетней давности, в которой давно обнаружена критическая уязвимость из базы CVE (Common Vulnerabilities and Exposures).
Когда компании выбирают современные мобильные решения и программные продукты, они часто оценивают только интерфейс и скорость работы. Но если под капотом находится дырявая библиотека, злоумышленнику не нужно ломать само приложение — он просто использует общеизвестный эксплойт для уязвимого компонента.
Через такие «транзитные» уязвимости хакеры могут перехватывать трафик, внедрять вредоносный код или вызывать отказ в обслуживании (тот самый отвал сети, когда приложение просто перестает реагировать на запросы). Именно поэтому SCA-анализ критически важен: он подсвечивает все скрытые зависимости и показывает, какие компоненты внутри программы уже «протухли» и требуют обновления.
---
Шифрование и права доступа: на что смотреть в настройках безопасности мобильного софта
Мобильный бизнес-софт работает в агрессивной среде. Смартфоны сотрудников теряются, подключаются к небезопасным Wi-Fi сетям в кофейнях и подвергаются атакам. Поэтому при аудите мобильного приложения я всегда смотрю на два критических параметра: как шифруются данные и какие разрешения требует программа.
1. Шифрование «в покое» (at rest) и «в движении» (in transit)
Данные не должны храниться на устройстве в открытом виде. Если сотрудник потеряет телефон без установленного пароля на экране, злоумышленник сможет легко вытащить базу данных приложения. Шифрование «в покое» должно использовать надежные алгоритмы (например, AES-256).
Передача данных на сервер должна идти строго по защищенным каналам. Забудьте про устаревший HTTP. Стандартом сегодня являются протоколы TLS 1.2 и TLS 1.3. Причем приложение должно уметь определять подмену SSL-сертификатов (механизм SSL Pinning), иначе злоумышленники смогут перехватить трафик через атаку Man-in-the-Middle (человек посередине) в любой публичной сети.
2. Принцип минимальных привилегий (Least Privilege)
Каждое мобильное приложение перед установкой или в процессе работы запрашивает доступ к функциям смартфона. Корпоративный софт должен подчиняться жесткому правилу: запрашивать только то, без чего он физически не может работать.
Если вы устанавливаете обычный калькулятор для расчета смет, а он требует доступ к:
* Списку контактов;
* Камере и микрофону;
* Геолокации в фоновом режиме;
* Галерее снимков,
— это не просто избыточные требования, это потенциальный шпионский софт. Бизнес-приложение должно обосновывать каждое разрешение. Если CRM-системе нужен доступ к камере для сканирования штрихкодов — это нормально. Но если она требует доступ к СМС-сообщениям без видимой причины, такой софт отправляется в корзину.
Проверяйте разрешения вручную в настройках смартфона сразу после установки тестовой версии. Если приложение отказывается работать без доступа к вашей телефонной книге, хотя его задача — просто показывать графики продаж, вендор пытается собирать лишние данные.
---
Соответствие регуляторам: как убедиться, что приложение не нарушает ФЗ-152 и GDPR
Безопасность — это не только защита от хакеров, но и защита от штрафов контролирующих органов. В России действует ФЗ-152 «О персональных данных», в Европе — жесткий регламент GDPR. Нарушение этих правил может стоить компании миллионов рублей (или евро) и блокировки сервисов.
При анализе софта перед покупкой убедитесь, что он соответствует актуальным стандартам безопасности OWASP Mobile Top 10 (актуальная редакция 2024-2025 годов). Это перечень самых опасных и распространенных угроз для мобильных приложений, на который ориентируются регуляторы во всем мире.
Чтобы спать спокойно, проверьте следующие моменты:
* Локализация данных. Согласно российскому законодательству, персональные данные граждан РФ должны храниться на серверах, физически расположенных на территории России. Если выбранный вами облачный сервис хостится на серверах где-нибудь в Германии или США, вы автоматически нарушаете закон.
* Согласие на обработку. Интерфейс приложения должен содержать четкие и понятные формы согласия на обработку данных, а также механизмы их удаления по требованию пользователя.
* Логирование действий. Приложение должно записывать, кто, когда и к каким данным получал доступ. Если произойдет утечка, логи помогут понять, был ли это внешний взлом или внутренний саботаж (слив информации обиженным сотрудником).
Если софт не умеет разграничивать права доступа (например, у обычного менеджера и генерального директора одинаковый уровень доступа ко всей базе клиентов), то пройти аудит на соответствие ФЗ-152 или GDPR будет невозможно.
---