Увеличение вознаграждения произошло по программе поиска уязвимостей «Авито» с 350 тыс. до 525 тыс. рублей. Также BI.ZONE увеличила выплаты исследователям по собственной программе с 300 тыс. до 450 тыс. рублей. На проекте Ozon они выросли со 150 тыс. до 225 тыс. и самое большое увеличение прошло по программе «Тинькофф» — со 150 тыс. до 400 тыс. рублей.
В «Тинькофф» рассказали «Телеспутнику», что банк уже много лет развивает собственную программу bug bounty, как в приватном, так и в публичном форматах на различных площадках. «Мы планировали после тестирования публичной программы на новой площадке повысить выплаты», — сообщили в «Тинькофф». В Ozon и «Авито» на запрос «Телеспутника» не ответили.
В РФ сейчас активно работают с багхантерами (исследователи, которые легально ищут уязвимости в софте, — прим. ред.) и заказчиками три площадки: Standoff 365 (входит в Positive Technologies), BI.ZONE и Bugbounty.ru, также действуют собственные программы по поиску уязвимостей в крупных компаниях. По словам собеседников «Телеспутника», повышение выплат может быть инициировано самой платформой, если, например, программа компании представлена впервые — это позволит обеспечить ей хорошую активность багхантеров на старте и сразу получить первые отчеты. Также увеличивать размер вознаграждения могут и сами компании для привлечения еще большего количества исследователей и решения своих локальных задач. Белые хакеры — элита среди специалистов в области информационной безопасности и за них всегда будет идти конкуренция, как между платформами bug bounty, так и между заказчиками исследований. При этом, как сообщили нашему изданию в BI.ZONE, увеличение вознаграждений по ряду проектов будет действовать до конца марта и является не более чем маркетинговым ходом, приуроченным к полугодию платформы.
Самой высокооплачиваемой на всех российских платформах bug bounty остается программа VK: максимальная сумма вознаграждения по ней составляет 1,8 млн рублей. Большинство других компаний предлагают суммы в несколько раз меньше. По меркам мировых платформ, таких как HackerOne, BugCrowd, Intigrity, Synack и YesWeHack, выплаты на российских ресурсах небольшие и в перечне все еще мало программ для исследований. Так, на платформе BI.ZONE Bug Bounty действует 45 публичных программ, количество зарегистрированных и активных пользователей-исследователей не раскрывается. На платформе Standoff 365 представлено 47 программ, две из которых — приватные, количество зарегистрированных пользователей — 4111, из них 240 сдали хотя бы один валидный отчет. Всего выплачено более 14 млн рублей, отметили в Standoff 365. В Bugbounty.ru запущено 35 программ для поиска уязвимостей, а количество пользователей около 3000. Количество активных багхантеров в каждой программе обычно зависит от величины выплат, добавили в Bugbounty.ru.
В 2021 году на HackerOne общий средний размер вознаграждения незначительно снизился, следует из отчета платформы, при этом был рост награды во многих отраслях. Средние вознаграждения в сфере финансовых услуг продолжает расти. Средние выплаты за нахождение критических ошибок в розничной торговле упали на 15 %, а за программное обеспечение — на 30 %. В индустрии криптовалют и блокчейна наблюдался самый резкий рост расходов на вознаграждение: средние расходы на критическую ошибку выросли с 2000 до 3000 долларов, а средняя выплата увеличилась на 315 %, с 6443 долларов в 2021 году до 26 728 долларов в 2022-м.
По данным исследования AllTheResearch рост мирового рынка bug bounty прогнозируется до 5,4 млрд $ к 2027 году. И Россия следует мировому тренду — программы и платформы bug bounty находят все большее распространение среди организаций, заинтересованных в обеспечении кибербезопасности своих ресурсов. Российский рынок bug bounty только развивается, дополнительный стимул он получил в марте 2022 года, когда HackerOne прекратила выплаты пользователям из России и Белоруссии. Однако в силу того, что международные расчеты с багхантерами затруднены, сейчас российский рынок bug bounty является локальным и в исследованиях участвует лишь незначительное количество легальных хакеров из других стран.
Кроме того, остается нерешенным вопрос с определением правового статуса белых хакеров. При том, что на ряде площадок для исследований представлены государственные информационные ресурсы, деятельность белых хакеров до сих пор не урегулирована законом.
Ранее «Телеспутник» писал, что юридические риски существуют как для заказчиков bug bounty из госсектора и субъектов КИИ, так и для белых хакеров: действия последних по поиску уязвимостей могут быть квалифицированы как неправомерный доступ к компьютерной информации в соответствии со ст. 272 УК РФ.
