21 января пятница
ДОЛЛАР 76.44 -0.43
ЕВРО 86.82 -0.31
ЮАНЬ 12.05 -0.05
ФУНТ 104.2 -0.28
SBER
0 ₽ 0.00
Yandex
0 ₽ 0.00
Mail.Ru Group
0 ₽ 0.00
Ростелеком
0 ₽ 0.00
QIWI
0 ₽ 0.00
Ozon
0 ₽ 0.00

В России планируют создать платформу для найма «белых хакеров»

По словам экспертов, платформа поможет сэкономить заказчику на верификации, а хакеру принесет больший доход

Лента новостей
26 ноября 2021, Мария Арялина | 👁 6097

В России планируют создать платформу для найма «белых хакеров»

По словам экспертов, платформа поможет сэкономить заказчику на верификации, а хакеру принесет больший доход

Positive Technologies планируют запустить в России платформу, которая станет агрегатором программ для «этичных хакеров» по поиску уязвимостей — bug bounty. Об этом сообщает Коммерсантъ.

«Платформа станет посредником между «этичными хакерами» и компаниями. Сейчас в России такой системы нет, отдельные bug bounty от российских компаний размещаются на международной HackerOne», — заявил руководитель отдела анализа защищенности приложений Positive Technologies Ярослав Бабин.

Директор центра компетенции Positive Technologies Андрей Бершадский рассказал, что программа будет проходить не только в традиционном, но и в новом формате.

«В традиционной программе bug bounty заказчик платит в целом за обнаруженные уязвимости и получает огромный поток, приходится тратить много ресурсов на верификацию», — отметил он.

То есть, поясняет Андрей Бершадский, заказчик сэкономит на верификации, а хакеры получат от компании вознаграждение за найденные в их IT-сетях, системах и приложениях уязвимости.

«Подобная схема может использоваться компаниями как очередной критерий для отказа в вознаграждении. Оценка рисков и тем более ущерба — не настолько прозрачный процесс, особенно когда его нужно связывать с уязвимостями», — заявила менеджер по развитию бизнеса группы Angara Анна Михайлова.

В ВТБ считают создание платформы для «белых хакеров» целесообразным. Дополнительную пользу она может принести за счет публикации информации о типовых недопустимых событиях для бизнес-систем различного класса, полагают в пресс-службе банка.

«Агрегатор по поиску уязвимостей поможет снять массу бюрократических вопросов в организации такого процесса внутри компаний, и, при грамотной реализации сервиса, он избавит «золотоискателей» от рисков потенциальных невыплат», — отмечает ведущий системный инженер Varonis Systemes Александр Ветколь.

Ведущий инженер CorpSoft24 Михаил Сергеев выразил сомнения в перспективах российских проектов, так как отечественный бизнес не располагает бюджетами на оплату подобных специалистов: «Только очень крупные компании могут себе позволить «белых хакеров», и, как показывает практика, даже они часто не реагируют на сообщения о найденных багах».

«Запуск bug bounty—программы требует дополнительных финансовых затрат и определенного уровня зрелости процессов информбезопасности, что снижает список потенциальных клиентов такой площадки в России», — считает руководитель группы по оказанию услуг в области кибербезопасности КПМГ Илья Шаленков. Востребованность подобного сервиса российскими разработчиками, добавляет Александр Ветколь, подразумевает принятие ими «права на ошибку».

Напомним, что программы bug bounty активнее всего используют крупные зарубежные IT-корпорации. Так, в 2020 году 341 исследователь представил компании Microsoft 1,2 тыс. отчетов об уязвимостях, заработав $13,6 млн, сообщало издание SecurityLab. В 2020 году Google выплатил $6,7 млн за уязвимости.

Новости smi2.ru
Комментарии 1
Bug Bounty Ru / 12 января

В 2021 году была запущена площадка BugBounty.ru, первая и единственная в РФ платформа для поиска уязвимостей и взаимодействия баг-хантеров и владельцев ресурсов. С момента запуска программы было выявлено несколько сотен уязвимостей, от незначительных до сверх-критичных.

Зарегистрируйтесь или , чтобы оставлять комментарии.