img
img11 ноября 2024 в 11:57

Минцифры может установить государственные тарифы для участников программы Bug Bounty

Министерство цифрового развития, связи и массовых коммуникаций России (Минцифры) рассматривает возможность внедрения государственных тарифов на выплаты «белым хакерам», участвующим в программе Bug Bounty. Эта инициатива направлена на поиск уязвимостей в информационных системах за вознаграждение. Заместитель министра Минцифры Александр Шойтов представил эту идею 6 ноября на площадке SOC Forum 2024, подчеркнув, что это мера нужна для «нормализации процедуры».

Министерство цифрового развития, связи и массовых коммуникаций России (Минцифры) рассматривает возможность внедрения государственных тарифов на выплаты «белым хакерам», участвующим в программе Bug Bounty. Эта инициатива направлена на поиск уязвимостей в информационных системах за вознаграждение. Заместитель министра Минцифры Александр Шойтов представил эту идею 6 ноября на площадке SOC Forum 2024, подчеркнув, что это мера нужна для «нормализации процедуры».

По словам Шойтова, множество федеральных и региональных органов власти уже используют данную программу, но пока делают это на добровольной основе. Введение обязательных норм требует дальнейшего обоснования эффективности Bug Bounty и уточнения зон ответственности участников тестирования. Для того чтобы программа стала обязательной, необходимо ее стандартизировать и ввести тарифы на выплаты за находки «белых хакеров», пишет «Коммерсантъ».

Представители Минцифры отметили, что инициатива еще находится на стадии обсуждения, и пока нет конкретных деталей. Министерство взаимодействует с различными ведомствами и отраслевыми организациями для нахождения оптимального решения. Эксперты подчеркивают, что введение тарифов необходимо для стандартизации Bug Bounty, особенно учитывая, что она планируется как обязательная мера для критической информационной инфраструктуры (КИИ) и государственных органов.

Другой эксперт упомянул, что разработка тарифной сетки предполагает разные суммы выплат по федеральным округам. Например, за критические уязвимости суммы могут варьироваться от 30 до 50 тысяч рублей, а для значимых сервисов, таких как «Госуслуги», выплаты могут достигать миллиона рублей.

Однако эксперты также поднимают вопросы о возможных рисках. Фиксированные тарифы могут не учитывать реальную значимость уязвимостей и изменяющийся рынок услуг по информационной безопасности. Это может снизить мотивацию участников к выявлению уязвимостей, если выплаты не будут соответствовать реальной стоимости их работы.

Ранее мы писали о том, что безопасность государственных информационных систем (ГИС) Ленинградской области проверят независимые исследователи на платформе bug bounty BI.ZONE. Об этом сообщили в комитете цифрового развития Ленинградской области.

Подписка на рассылку

Подпишитесь на рассылку, чтобы одним из первых быть в курсе новых событий