В России планируют создать платформу для найма «белых хакеров»
По словам экспертов, платформа поможет сэкономить заказчику на верификации, а хакеру принесет больший доход
Positive Technologies планируют запустить в России платформу, которая станет агрегатором программ для «этичных хакеров» по поиску уязвимостей — bug bounty. Об этом сообщает Коммерсантъ.
«Платформа станет посредником между «этичными хакерами» и компаниями. Сейчас в России такой системы нет, отдельные bug bounty от российских компаний размещаются на международной HackerOne», — заявил руководитель отдела анализа защищенности приложений Positive Technologies Ярослав Бабин.
Директор центра компетенции Positive Technologies Андрей Бершадский рассказал, что программа будет проходить не только в традиционном, но и в новом формате.
«В традиционной программе bug bounty заказчик платит в целом за обнаруженные уязвимости и получает огромный поток, приходится тратить много ресурсов на верификацию», — отметил он.
То есть, поясняет Андрей Бершадский, заказчик сэкономит на верификации, а хакеры получат от компании вознаграждение за найденные в их IT-сетях, системах и приложениях уязвимости.
«Подобная схема может использоваться компаниями как очередной критерий для отказа в вознаграждении. Оценка рисков и тем более ущерба — не настолько прозрачный процесс, особенно когда его нужно связывать с уязвимостями», — заявила менеджер по развитию бизнеса группы Angara Анна Михайлова.
В ВТБ считают создание платформы для «белых хакеров» целесообразным. Дополнительную пользу она может принести за счет публикации информации о типовых недопустимых событиях для бизнес-систем различного класса, полагают в пресс-службе банка.
«Агрегатор по поиску уязвимостей поможет снять массу бюрократических вопросов в организации такого процесса внутри компаний, и, при грамотной реализации сервиса, он избавит «золотоискателей» от рисков потенциальных невыплат», — отмечает ведущий системный инженер Varonis Systemes Александр Ветколь.
Ведущий инженер CorpSoft24 Михаил Сергеев выразил сомнения в перспективах российских проектов, так как отечественный бизнес не располагает бюджетами на оплату подобных специалистов: «Только очень крупные компании могут себе позволить «белых хакеров», и, как показывает практика, даже они часто не реагируют на сообщения о найденных багах».
«Запуск bug bounty—программы требует дополнительных финансовых затрат и определенного уровня зрелости процессов информбезопасности, что снижает список потенциальных клиентов такой площадки в России», — считает руководитель группы по оказанию услуг в области кибербезопасности КПМГ Илья Шаленков. Востребованность подобного сервиса российскими разработчиками, добавляет Александр Ветколь, подразумевает принятие ими «права на ошибку».
Напомним, что программы bug bounty активнее всего используют крупные зарубежные IT-корпорации. Так, в 2020 году 341 исследователь представил компании Microsoft 1,2 тыс. отчетов об уязвимостях, заработав $13,6 млн, сообщало издание SecurityLab. В 2020 году Google выплатил $6,7 млн за уязвимости.
В 2021 году была запущена площадка BugBounty.ru, первая и единственная в РФ платформа для поиска уязвимостей и взаимодействия баг-хантеров и владельцев ресурсов. С момента запуска программы было выявлено несколько сотен уязвимостей, от незначительных до сверх-критичных.