Войти в почту

Минцифры снова попросит хакеров о помощи

(Минцифры) планирует до конца 2023 г. запустить программу поиска уязвимостей за вознаграждение bug bounty для 20 информационных систем (ИС). Об этом на межрегиональной конференции по информационной безопасности (ИБ) "Инфофорум-Центр" в Туле сообщил заместитель директора департамента обеспечения кибербезопасности Минцифры Евгений Хасин.

Минцифры снова попросит белых хакеров о помощи
© РИА Новости

По его словам эффективность такой практики доказала состоятельность еще в начале 2023 г., когда Минцифры опробовало программу bug bounty на портале Госуслуг (ЕПГУ). Тогда общая сумма выплат белым хакерам за найденные уязвимости составила около 2 млн руб. Максимальная выплата за один баг равнялась 350 тыс. руб., минимальная - 10 тыс. руб. Возраст участников программы колебался от 17 до 55 лет, средний возраст хакеров составил 28 лет.

В проекте приняли участие более 8,4 тыс. человек. Они обнаружили 34 уязвимости, большинство из которых были со средним и низким уровнем критичности. У исследователей не было доступа к внутренним данным ЕПГУ. Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировали системы мониторинга, чтобы их нельзя было использовать для взлома.

Представители пресс-службы Минцифры не ответили на вопросы корреспондента ComNews о сумме вознаграждений участникам на этот раз и для каких ИС министерство собирается запустить программу.

Технический директор компании по разработке систем сетевой и информационной безопасности Weblock (входит в холдинг "Гарда") раскрыл среднюю стоимость выплат за нахождение уязвимостей на рынке: "В среднем сумма выплат в РФ колеблется от 30 тыс. руб. до 70 тыс. руб., максимальная - около 4 млн руб., минимальная - в районе 5 тыс. руб. В целом, для сторон складывается "win-win стратегия": компания получает прямой канал взаимодействия с пользователями, багхантеры - вознаграждение".

Руководитель департамента сервисных услуг Innostage Екатерина Сюртукова рассказала, какие факторы влияют на сумму вознаграждения: "Вознаграждение зависит как от площадок, так и от самого заказчика, насколько ему в моменте интересен тот или иной пласт уязвимости. В последнее время очень часто можно увидеть, что российские компании, которые вышли на bug bounty, выкладывают коэффициенты на определенный промежуток времени к разным классам уязвимости. Таким способом, как правило, стараются привлекать белых хакеров к отслеживанию определенных багов, которые в моменте им кажутся критичными. Также сумма может зависеть от критичности найденной уязвимости".

Технический директор компании-интегратора информационной безопасности iTPROTECT Максим Головлев объяснил, почему компании все чаще обращаются за помощью к белым хакерам, а не решают проблемы с уязвимостями самостоятельно: "Конечно, можно найти пробелы в защите и своими силами, но свежий взгляд со стороны зачастую помогает сделать это быстрее и, возможно, дешевле. Ведь в большинстве случаев оплата осуществляется только за реальные достижения в рамках анализа. Для белых хакеров это не только прямая материальная мотивация и развитие навыков, но и возможность получить работу в компании-заказчике услуги".

Архитектор информационной безопасности компании-разработчика систем кибербезопасности R-Vision также порассуждал о причинах роста популярности bug bounty: "С расширением доступа в интернет и увеличением количества веб-приложений, проблемы ИБ-компаний и убытки от несвоевременно выявленных уязвимостей стали расти в геометрической прогрессии. Именно тот факт, что убытки от невыявленных уязвимостей для бизнеса стали намного превышать стоимость аудита ИБ, и сыграл основную роль в становлении и развитии bug bounty в настоящее время".

Архитектор ИТ-инфраструктуры практики "Стратегия трансформации" компании "Рексофт Консалтинг" уверен, что программа bug bounty с годами будет лишь набирать обороты: "Практика привлечения этичных хакеров для поиска уязвимостей в ИС применяется давно и успешно. Только в 2022 г. около 40 российских коммерческих компаний, среди которых , , , Ozon и другие, анонсировали подобные программы, многие из них действуют и сейчас. Данная практика позволяет компаниям обнаруживать ошибки в продуктах за счет большого количества добровольных помощников и обходится им недорого в сравнении с возможным финансовым и репутационным ущербом от эксплуатации уязвимостей злонамеренными субъектами. Общий мировой рынок bug bounty в 2022 г. составил $1,1 млрд и по оценке экспертов вырастет до $2,7 млрд к 2028 г. Это говорит о том, что компании считают данную практику полезной и эффективной".