Минцифры снова попросит хакеров о помощи
Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры) планирует до конца 2023 г. запустить программу поиска уязвимостей за вознаграждение bug bounty для 20 информационных систем (ИС). Об этом на межрегиональной конференции по информационной безопасности (ИБ) "Инфофорум-Центр" в Туле сообщил заместитель директора департамента обеспечения кибербезопасности Минцифры Евгений Хасин.
По его словам эффективность такой практики доказала состоятельность еще в начале 2023 г., когда Минцифры опробовало программу bug bounty на портале Госуслуг (ЕПГУ). Тогда общая сумма выплат белым хакерам за найденные уязвимости составила около 2 млн руб. Максимальная выплата за один баг равнялась 350 тыс. руб., минимальная - 10 тыс. руб. Возраст участников программы колебался от 17 до 55 лет, средний возраст хакеров составил 28 лет.
В проекте приняли участие более 8,4 тыс. человек. Они обнаружили 34 уязвимости, большинство из которых были со средним и низким уровнем критичности. У исследователей не было доступа к внутренним данным ЕПГУ. Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировали системы мониторинга, чтобы их нельзя было использовать для взлома.
Представители пресс-службы Минцифры не ответили на вопросы корреспондента ComNews о сумме вознаграждений участникам на этот раз и для каких ИС министерство собирается запустить программу.
Технический директор компании по разработке систем сетевой и информационной безопасности Weblock (входит в холдинг "Гарда") Лука Сафонов раскрыл среднюю стоимость выплат за нахождение уязвимостей на рынке: "В среднем сумма выплат в РФ колеблется от 30 тыс. руб. до 70 тыс. руб., максимальная - около 4 млн руб., минимальная - в районе 5 тыс. руб. В целом, для сторон складывается "win-win стратегия": компания получает прямой канал взаимодействия с пользователями, багхантеры - вознаграждение".
Руководитель департамента сервисных услуг Innostage Екатерина Сюртукова рассказала, какие факторы влияют на сумму вознаграждения: "Вознаграждение зависит как от площадок, так и от самого заказчика, насколько ему в моменте интересен тот или иной пласт уязвимости. В последнее время очень часто можно увидеть, что российские компании, которые вышли на bug bounty, выкладывают коэффициенты на определенный промежуток времени к разным классам уязвимости. Таким способом, как правило, стараются привлекать белых хакеров к отслеживанию определенных багов, которые в моменте им кажутся критичными. Также сумма может зависеть от критичности найденной уязвимости".
Технический директор компании-интегратора информационной безопасности iTPROTECT Максим Головлев объяснил, почему компании все чаще обращаются за помощью к белым хакерам, а не решают проблемы с уязвимостями самостоятельно: "Конечно, можно найти пробелы в защите и своими силами, но свежий взгляд со стороны зачастую помогает сделать это быстрее и, возможно, дешевле. Ведь в большинстве случаев оплата осуществляется только за реальные достижения в рамках анализа. Для белых хакеров это не только прямая материальная мотивация и развитие навыков, но и возможность получить работу в компании-заказчике услуги".
Архитектор информационной безопасности компании-разработчика систем кибербезопасности R-Vision Дмитрий Мельник также порассуждал о причинах роста популярности bug bounty: "С расширением доступа в интернет и увеличением количества веб-приложений, проблемы ИБ-компаний и убытки от несвоевременно выявленных уязвимостей стали расти в геометрической прогрессии. Именно тот факт, что убытки от невыявленных уязвимостей для бизнеса стали намного превышать стоимость аудита ИБ, и сыграл основную роль в становлении и развитии bug bounty в настоящее время".
Архитектор ИТ-инфраструктуры практики "Стратегия трансформации" компании "Рексофт Консалтинг" Александр Черный уверен, что программа bug bounty с годами будет лишь набирать обороты: "Практика привлечения этичных хакеров для поиска уязвимостей в ИС применяется давно и успешно. Только в 2022 г. около 40 российских коммерческих компаний, среди которых "Яндекс", "Сбер", "Тинькофф", Ozon и другие, анонсировали подобные программы, многие из них действуют и сейчас. Данная практика позволяет компаниям обнаруживать ошибки в продуктах за счет большого количества добровольных помощников и обходится им недорого в сравнении с возможным финансовым и репутационным ущербом от эксплуатации уязвимостей злонамеренными субъектами. Общий мировой рынок bug bounty в 2022 г. составил $1,1 млрд и по оценке экспертов вырастет до $2,7 млрд к 2028 г. Это говорит о том, что компании считают данную практику полезной и эффективной".