Российские компании готовы платить багхантерам за обнаруженные уязвимости от нескольких десятков до сотен тысяч рублей, что сопоставимо с выплатами мировых платформ. В отдельных случаях размеры вознаграждения достигают миллиона рублей и более.
«За пять месяцев существования платформы мы выплатили исследователям более 5 млн рублей. Самая крупная выплата составила 1,2 млн рублей. Средняя выплата составила 32 тысячи рублей. Сейчас на платформе 24 программы bug bounty. У нас есть программы социальных сетей: «ВКонтакте» и «Одноклассники», программы по обучающей отрасли: Geekbrains, Skillbox, «Учи.ру» и «Алгоритмика» и медиаресурсы Rambler: «Газета.ру», «Лента,ру», «Чемпионат», «Афиша», а также «Дзен», который недавно был куплен VK», — сказал руководитель платформы Standof 365 Bug bounty Ярослав Бабин.
При этом до уровня мировых платформ российским площадкам bug bounty еще очень далеко, так, к примеру, крупнейшая из них HackerOne за весь 2021 год заплатила исследователям более $40 млн. Тем не менее направление bug bounty в России последние несколько лет активно развивается. На рынке существует три открытые платформы на которых «белые хакеры» занимаются поиском критических уязвимостей в компаниях: Bugbounty.ru, Standoff 365 Bug Bounty (входит в Positive Technologies) и BI.ZONE Bug Bounty (контролируется Сбером), а также в крупных российских компаниях существуют собственные закрытые программы поиска уязвимостей, например такая есть у «Яндекса».
В марте 2022 года международная платформа HackerOne, популярная у крупных российских и других компаний, остановила выплаты за поиски уязвимостей «белым хакерам» из России и Белоруссии. Среди российских пользователей HackerOne были компании Mail.ru, Ozon, «Лаборатория Касперского», «Авито» и другие.
В «Лаборатории Касперского» позитивно оценивают развитие платформ bug bounty в России и отмечают, что любая платформа прежде всего удобна исследователю, тогда как компаниям принципиальной разницы нет как платить вознаграждение — через платформу или исследователю напрямую.
«Зачем нам использовать bug bounty платформу? У нас есть корпоративный сайт, соответственно все этичные хакеры могут туда присылать свои исследования, информацию о том какие уязвимости обнаружены и точно также без всяких посредников, минуя bug bounty платформы, за это получать вознаграждение. Эта программа осталась и сейчас — «Лаборатория Касперского» делает все выплаты напрямую исследователям. Неудобство с отсутствием западных bug bounty платформ заметно, но ничего критичного не случилось», — комментирует «Телеспутнику» ситуацию главный эксперт «Лаборатории Касперского» Сергей Голованов.
Из-за санкций у российских платформ возникают сложности при проведении международных платежей, поэтому их исследовательская аудитория ограничена преимущественно «белыми хакерами» из России. Численность зарегистрированных исследователей на отечественных платформах составляет по 2500 человек на Bugbounty.ru и Standoff 365 Bug Bounty и примерно 400 специалистов на BI.ZONE Bug Bounty.
Программа bug bounty — это процесс привлечения бизнесом внештатных исследователей кибербезопасности и специалистов по анализу защищенности и тестированию на проникновение к проверке своего программного обеспечения, веб-приложений и инфраструктуры с условием выплаты вознаграждения за выявленные уязвимости.
Одним из ключевых участников со стороны заказчиков на платформах bug bounty за рубежом выступают госструктуры. В России несмотря на то, что госсектор, госкомпании и владельцы объектов критической информационной инфраструктуры (КИИ) проявляют интерес к bug bounty, подобная практика практически не применяется из-за отсутствия нормативной базы. Сейчас деятельность «белых хакеров» не урегулирована законом. Юридические риски существуют как для заказчиков bug bounty из госсектора и субъектов КИИ, так и для «белых хакеров»: действия последних по поиску уязвимостей могут быть квалифицированы как неправомерный доступ к компьютерной информации в соответствии со ст. 272 УК РФ. При этом регулярные пентесты с привлечением внешних исследователей в этих сегментах уже широко распространены и, более того, закреплены в нормативно-методических документах Банка России и ФСТЭК, следует из материалов презентации, представленных на пресс-конференции.
В распространении bug bounty сейчас заинтересованы профильные ведомства, в первую очередь Минцифры, что создает перспективы для снятия ряда юридических барьеров и более широкого применения этой практики, в том числе в госсекторе и на объектах КИИ. Ранее «Телеспутник» писал об инициативе Минцифры привлечь «белых хакеров», чтобы проверить портал «Госуслуги» на уязвимости до конца этого года.
