DPA Analytics: масштабное исследование российских frontend-приложений показало неудовлетворительный уровень безопасности
Изображение: recraft
В ходе исследования DPA Analytics за 1 полугодие 2025 года были проанализированы frontend-приложения более 3000 российских компаний различных отраслей от промышленности и финтеха до услуг, медицины и маркетплейсов.
С учетом актуальных угроз, известных инцидентов и повышения штрафов за невыполнение 152-ФЗ, текущая оценка является неудовлетворительной. На фоне этого особые опасения вызывают факты того, что 64 % загружают скрипты с хостов за пределами РФ, 71 % отправляют сетевые запросы на зарубежные хосты, 50 % вызывают высокорисковые API браузера, что может быть признаком наличия в приложении вредоносного кода, а более 70% компаний рискуют получить штрафы от 1 до 18 млн. руб. за сбор ПД с использованием баз данных, размещенных за пределами РФ.
В ходе исследования определялась оценка безопасности российских frontend‑приложений, в том числе на основании эффективности использования механизмов безопасности браузера, зависимости приложений от зарубежных сетей доставки контента (CDN), использования зарубежных систем аналитики, выполнения трансграничных передач персональных данных с веб‑страниц и других факторов.
Эти факторы легли в основу показателя «Общая оценка безопасности», который и определяет уровень информационной безопасности frontend‑приложений. В рамках исследования DPA Analytics были проанализированы более 3000 публично доступных frontend‑приложений крупнейших российских коммерческих компаний, а соответствующие данные сгруппированы по ключевым отраслям.
Средняя оценка безопасности по всем отраслям составила 39 из 100. Наименьшие оценки (18 и 20 из 100) — в категориях Транспорт и Телекоммуникации. Лучший показатель ожидаемо в онлайн-банках/системах ДБО (77 из 100), однако этого явно недостаточно с учетом критичности таких приложений.
По результатам исследования было собрано множество различных метрик, например средний размер js‑кода, среднее количество стран, в которые отправляются данные с веб‑страниц, используемые API‑браузера (WebAPI) и многие другие. Сводные данные по каждой отрасли доступны в полном отчете об исследовании.
С учетом текущего ландшафта угроз и полученных результатов, российские компании могут быть не готовы к эффективному обнаружению/предотвращению инцидентов в frontend‑приложениях.
В качестве основных рекомендаций авторы исследования предлагают построить модель угроз (по фреймворку Frontend Kill Chain) для понимания основных рисков и внедрить проведение регулярного автоматизированного анализа поведения frontend‑приложений/веб‑страниц.
Также в связи с повышением штрафов за нарушения 152-ФЗ «О персональных данных» и запретом первичного сбора персональных данных с использованием зарубежных БД, рекомендуется регулярно контролировать все отправки сетевых запросов js-скриптами на сайтах/лендингах/веб-страницах и в иных frontend-приложениях, для чего эффективно используются анализаторы класса FAST (Frontend Application Security Testing) и frontend-песочницы.
