img28 октября 2022 в 23:41

Для доступа к госсектору работу «белых хакеров» предстоит сделать юридически прозрачной

За пять месяцев работы отечественной платформы Standof 365 Bug bounty «белым хакерам» было выплачено более 5 млн рублей. А заказчиками выступили крупнейшие российские ИТ-компании: соцсети «ВКонтакте» и «Одноклассники», Ed-tech проекты — GeekBrains, Skillbox, «Учи.ру» и «Алгоритмика» и медиаресурсы Rambler. Об этом сообщил руководитель платформы Ярослав Бабин на пресс-конференции, которая была посвящена развитию платформ bug bounty в России. При этом эксперты отмечают, что государственный ИТ-сектор пока остается за рамками подобных методов исследования кибербезопасности из-за отсутствия нормативно-правовой базы.

За пять месяцев работы отечественной платформы Standof 365 Bug bounty «белым хакерам» было выплачено более 5 млн рублей. А заказчиками выступили крупнейшие российские ИТ-компании: соцсети «ВКонтакте» и «Одноклассники», Ed-tech проекты — GeekBrains, Skillbox, «Учи.ру» и «Алгоритмика» и медиаресурсы Rambler. Об этом сообщил руководитель платформы Ярослав Бабин на пресс-конференции, которая была посвящена развитию платформ bug bounty в России. При этом эксперты отмечают, что государственный ИТ-сектор пока остается за рамками подобных методов исследования кибербезопасности из-за отсутствия нормативно-правовой базы.

Российские компании готовы платить багхантерам за обнаруженные уязвимости от нескольких десятков до сотен тысяч рублей, что сопоставимо с выплатами мировых платформ. В отдельных случаях размеры вознаграждения достигают миллиона рублей и более.

«За пять месяцев существования платформы мы выплатили исследователям более 5 млн рублей. Самая крупная выплата составила 1,2 млн рублей. Средняя выплата составила 32 тысячи рублей. Сейчас на платформе 24 программы bug bounty. У нас есть программы социальных сетей: «ВКонтакте» и «Одноклассники», программы по обучающей отрасли: Geekbrains, Skillbox, «Учи.ру» и «Алгоритмика» и медиаресурсы Rambler: «Газета.ру», «Лента,ру», «Чемпионат», «Афиша», а также «Дзен», который недавно был куплен VK», — сказал руководитель платформы Standof 365 Bug bounty Ярослав Бабин.

При этом до уровня мировых платформ российским площадкам bug bounty еще очень далеко, так, к примеру, крупнейшая из них HackerOne за весь 2021 год заплатила исследователям более $40 млн.  Тем не менее направление bug bounty в России последние несколько лет активно развивается. На рынке существует три открытые платформы на которых «белые хакеры» занимаются поиском критических уязвимостей в компаниях: Bugbounty.ru, Standoff 365 Bug Bounty (входит в Positive Technologies) и BI.ZONE Bug Bounty (контролируется Сбером), а также в крупных российских компаниях существуют собственные закрытые программы поиска уязвимостей, например такая есть у «Яндекса».

В марте 2022 года международная платформа HackerOne, популярная у крупных российских и других компаний, остановила выплаты за поиски уязвимостей «белым хакерам» из России и Белоруссии. Среди российских пользователей HackerOne были компании Mail.ru, Ozon, «Лаборатория Касперского», «Авито» и другие.

В «Лаборатории Касперского» позитивно оценивают развитие платформ bug bounty в России и отмечают, что любая платформа прежде всего удобна исследователю, тогда как компаниям принципиальной разницы нет как платить вознаграждение — через платформу или исследователю напрямую.

«Зачем нам использовать bug bounty платформу? У нас есть корпоративный сайт, соответственно все этичные хакеры могут туда присылать свои исследования, информацию о том какие уязвимости обнаружены и точно также без всяких посредников, минуя bug bounty платформы, за это получать вознаграждение. Эта программа осталась и сейчас — «Лаборатория Касперского» делает все выплаты напрямую исследователям. Неудобство с отсутствием западных bug bounty платформ заметно, но ничего критичного не случилось», — комментирует «Телеспутнику» ситуацию главный эксперт «Лаборатории Касперского» Сергей Голованов.

Из-за санкций у российских платформ возникают сложности при проведении международных платежей, поэтому их исследовательская аудитория ограничена преимущественно «белыми хакерами» из России. Численность зарегистрированных исследователей на отечественных платформах составляет по 2500 человек на Bugbounty.ru и Standoff 365 Bug Bounty и примерно 400 специалистов на BI.ZONE Bug Bounty.

Программа bug bounty — это процесс привлечения бизнесом внештатных исследователей кибербезопасности и специалистов по анализу защищенности и тестированию на проникновение к проверке своего программного обеспечения, веб-приложений и инфраструктуры с условием выплаты вознаграждения за выявленные уязвимости.

Одним из ключевых участников со стороны заказчиков на платформах bug bounty за рубежом выступают госструктуры. В России несмотря на то, что госсектор, госкомпании и владельцы объектов критической информационной инфраструктуры (КИИ) проявляют интерес к bug bounty, подобная практика практически не применяется из-за отсутствия нормативной базы. Сейчас деятельность «белых хакеров» не урегулирована законом. Юридические риски существуют как для заказчиков bug bounty из госсектора и субъектов КИИ, так и для «белых хакеров»: действия последних по поиску уязвимостей могут быть квалифицированы как неправомерный доступ к компьютерной информации в соответствии со ст. 272 УК РФ. При этом регулярные пентесты с привлечением внешних исследователей в этих сегментах уже широко распространены и, более того, закреплены в нормативно-методических документах Банка России и ФСТЭК, следует из материалов презентации, представленных на пресс-конференции.

В распространении bug bounty сейчас заинтересованы профильные ведомства, в первую очередь Минцифры, что создает перспективы для снятия ряда юридических барьеров и более широкого применения этой практики, в том числе в госсекторе и на объектах КИИ. Ранее «Телеспутник» писал об инициативе Минцифры привлечь «белых хакеров», чтобы проверить портал «Госуслуги» на уязвимости до конца этого года. 

Подписка на рассылку

Подпишитесь на рассылку, чтобы одним из первых быть в курсе новых событий

Я даю согласие на обработку персональных данных