Positive Technologies планирует в мае 2022 года запустить в России платформу, которая станет агрегатором программ для «этичных хакеров» по поиску уязвимостей — bug bounty, пишет «Коммерсант», ссылаясь на представителя компании. Сервис должен стать посредником между компаниями, которые хотят проверить свои информационные системы на безопасность, и хакерами, которые получат вознаграждение за их взлом.
Программу планируется проводить не только в традиционном, но и в новом формате, отметил директор центра компетенции Positive Technologies Андрей Бершадский. По его словам, в традиционной программе bug bounty заказчик платит в целом за обнаруженные уязвимости и получает огромный поток, приходится тратить много ресурсов на верификацию. В новом формате планируется сформировать реестр недопустимых событий и выплачивать вознаграждение за цепочку атак, которая однозначно приведет к неприемлемому ущербу, — заказчик сэкономит на верификации, а хакеру демонстрация неприемлемого ущерба может принести больший доход, пояснил Бершадский.
Менеджер по развитию бизнеса группы Angara Анна Михайлова опасается, что подобная схема может использоваться компаниями как очередной критерий для отказа в вознаграждении, так как оценка рисков и тем более ущерба — не настолько прозрачный процесс, особенно когда его нужно увязывать с уязвимостями.
О планах создания российского аналога HackerOne уже заявлял и «Ростелеком». Запрос на создание платформы пришел от банковского сообщества во главе с ЦБ, пояснили в «Ростелеком-Солар». В июне компания также запустила программу поиска уязвимостей в программном и аппаратном обеспечении разработчиков в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика РФ».
Эксперты сомневаются в перспективах российских проектов. Создание такой платформы в РФ, если она будет ориентирована только на отечественный бизнес, бессмысленно, поскольку он не располагает бюджетами на оплату подобных специалистов, считает ведущий инженер CorpSoft24 Михаил Сергеев. По его словам, только очень крупные компании могут себе позволить «белых хакеров», и, как показывает практика, даже они часто не реагируют на сообщения о найденных багах. Также запуск bug bounty — программы требует дополнительных финансовых затрат и определенного уровня зрелости процессов информбезопасности, что снижает список потенциальных клиентов такой площадки в России, отметил руководитель группы по оказанию услуг в области кибербезопасности КПМГ Илья Шаленков.