Минцифры пришло к хакерам
В конце 2022 года «Телеспутник» рассказывал о том, что международная платформа HackerOne, популярная у крупных компаний со всего мира, остановила выплаты за поиски уязвимостей белым хакерам из России и Белоруссии. В то время получили развитие отечественные платформы по поиску уязвимостей. При этом эксперты отмечали, что государственный ИТ-сектор остался за рамками подобных методов исследования кибербезопасности из-за отсутствия нормативно-правовой базы. Спустя два года ситуация изменилась кардинально. По инициативе Минцифры на багбаунти появились программы по уязвимости ресурсов и систем электронного правительства, государственных информационных систем, портала «Госуслуги» и региональных правительств. А в октябре Госдума РФ в первом чтении приняла поправки в Гражданский Кодекс, направленные на легализацию белых хакеров.
Собеседники «Телеспутника» единодушны в мнении, что рынок поиска уязвимостей в России будет расти. Запуск программ на платформе стал эффективным инструментом анализа защищённости цифровых ресурсов. Багбаунти также помогает компаниям выстроить внутренние процессы по устранению уязвимостей. Программа багбаунти —процесс привлечения бизнесом или ведомством внештатных исследователей кибербезопасности и специалистов по анализу защищённости и тестированию на проникновение к проверке своего программного обеспечения, веб-приложений и инфраструктуры с условием выплаты вознаграждения за выявленные уязвимости.
По словам руководителя группы исследовательских проектов Positive Technologies Ольги Ринглер, появление в правовом поле понятия «исследователь информационной безопасности» и урегулирование такой деятельности было необходимо, поскольку багхантеры уже более двух лет проводят поиск уязвимостей на ресурсах различных компаний, и масштаб этой работы только растёт, а её легализация сделает работу экспертов в области информационной безопасности более прозрачной.
«Это будет важным шагом в повышении защищённости государственных ресурсов и коммерческих компаний, контроле за устранением таких уязвимостей и увеличением количества независимых исследователей, которые могут быть привлечены к такой деятельности и осуществлять её по правилам, регламентированным государством, что позволит снять ряд вопросов, возникающих как со стороны владельцев систем, так и багхантеров», — пояснила Ольга Ринглер.
Она также отметила, что использование владельцами ресурсов программ багбанути растёт с каждым годом, потому что компании стремляться защитить важные ресурсы, не допустить остановки процессов или неправомерного доступа к персональным данным.
На платформе Standoff 365 Bug Bounty также отмечают заинтересованность как со стороны коммерческих структур, так и государственных органов, так ведомствами было реализовано более 20 % программам поиска уязвимостей. Услуги поиска уязвимостей также востребованны среди стартапов, которые не могут позволить себе ИБ-службу или приобретение более дорогостоящих услуг, таких как пентест, но с вниманием относятся к безопасности своих продуктов.
«Лидером по количеству программ багбаунти среди коммерческих организаций стал финтех. За прошедший год число компаний на платформе по этому направлению выросло вдвое благодаря высокой цифровизации отрасли, работе с большим объёмом внутренней разработки и данных, а также множеству веб-ресурсов. В 2025 году багбаунти также продолжит набирать популярность среди организаций из ИТ-сектора. Компании — разработчики коммерческого ПО активно запускают программы на платформе. Так разработчик операционных систем «Группа Астра» предоставила для тестирования свои решения: операционную систему Astra Linux и платформу управления виртуализацией VMmanager», — рассказал руководитель продукта BI.ZONE Bug Bounty Андрей Лёвкин.
В 2024 году организации из госсектора показали растущий интерес к багбаунти: их количество увеличилось втрое. Это связано с введением Минцифры параметра «Информационная безопасность» в рейтинг цифровой трансформации госструктур, добавил Лёвкин.
Основатель Bugbounty.ru Лука Сафонов, видит в законотворческих инициативах о легализации белых хакеров плюсы в том, что «сфера багбаунти получит больше публичного освещения, а хакеров начнут ассоциировать не только с киберпреступниками». При этом он указывает на то, что «чрезмерное регулирование может ограничить количество участников, а также у большинства регуляторов слабое понимание такой деятельности».
Среднее вознаграждение составило 58 тысяч рублей
В Standoff 365 Bug Bounty отмечают, что количество багхантеров на платформе растёт каждый год. Так по итогам 2024 года было зарегистрировано 18400 исследователей, а количество публичных программ достигло 84. Приватный режим исследований, кстати, так же широко используется компаниями.
По словам представителей сервиса, всего в прошлом году багхантеры сдали 4658 отчётов, что показывает высокую эффективность их работы. Так, средняя выплата за принятый отчёт в 2024 году составила почти 58 тысяч рублей. За все время работы платформы общий фонд выплаченных вознаграждений исследователем составил 176 млн рублей, а за 2024 год — 88,1 млн рублей. При этом размеры вознаграждений в каждой отдельной программе устанавливаются индивидуально, минимальный размер вознаграждения, определённый заказчиком на платформе за уязвимость низкого уровня критичности, составляет до 5 тысяч рублей.
На сегодняшний день развитие платформы и опыт исследователей позволяют компаниям реализовывать программы багбаунти при относительно небольших, в сравнении с другими мероприятиями по повышению уровня защищённости, объёмах вложений и в достаточно гибком режиме, добавили в Standoff 365 Bug Bounty.
Сейчас на платформе BI.ZONE Bug Bounty представлено 98 уникальных программ, 7 из них относятся к субъектам РФ, остальные инициированы коммерческим сектором: банками, ИТ-компаниями, онлайн-сервисами и другими.
За 2024 год сумма выплат багхантерам на платформе BI.ZONE Bug Bounty составила 64 млн рублей, что почти в два раза больше в сравнении с 2023 годом (35 млн рублей). Заказчики получили от исследователей 4451 отчёт.
Как рассказали «Телеспутнику» представители Bugbounty.ru, на сервисе поиска уязвимостей в настоящий момент представлено порядка 40 программ, большинство из них публичные. Инициированных госструктурами программ нет, но есть социально значимые, например «Бессмертный полк». Количество пользователей платформы (не все из них исследователи) составляет порядка 7000 человек. Количество пользователей растёт незначительно, а пик регистраций пришёлся на последние два года. В компании отмечают, что год от года общий размер вознаграждений, как и величина выплат растут, кроме этого, многие компании, например, VK увеличивают сумму выплат.
Кроме платформ багбаунти в крупных высокотехнологичных компаниях, таких как, например, «Яндекс» действуют корпоративные программы поиска уязвимостей. По словам экспертов, легализация белых хакеров привлечёт ещё большее количество исследователей в сферу багбаунти, как на специализированные платформы, так и в корпоративные программы, что в конечном счёте скажется на уровне защищённости компаний от реальных атак хакеров. Устранение киберрисков различными средствами, одним из которых стало привлечение исследователей для поиска уязвимостей, в последнее время особенно актуально, после ужесточения регулятором ответственности компаний, таких как введение оборотных штрафов и уголовной ответственности за утечки персональных данных пользователей.
