В России могут создать платформы для найма «белых хакеров»

Positive Technologies планирует запустить в России аналог международной платформы по поиску уязвимостей HackerOne. Сервис должен стать посредником между компаниями, которые хотят проверить свои информационные системы на безопасность, и хакерами, которые получат вознаграждение за их взлом. Разработать аналогичную платформу по запросу банков планирует и «Ростелеком». Но эксперты сомневаются в успехе проектов: у российских компаний, в отличие от зарубежных, часто нет бюджетов на подобные услуги, и они часто просто не реагируют на сообщения об уязвимостях.

Представитель Positive Technologies рассказал “Ъ”, что компания планирует в мае 2022 года запустить в России платформу, которая станет агрегатором программ для «этичных хакеров» по поиску уязвимостей — bug bounty. В рамках подобных программ хакеры получают от компаний вознаграждение за найденные в их IT-сетях, системах и приложениях уязвимости. По словам руководителя отдела анализа защищенности приложений Positive Technologies Ярослава Бабина, платформа станет посредником между «этичными хакерами» и компаниями: «Сейчас в России такой системы нет, отдельные bug bounty от российских компаний размещаются на международной HackerOne».

Программу планируется проводить не только в традиционном, но и в новом формате, отметил директор центра компетенции Positive Technologies Андрей Бершадский: «В традиционной программе bug bounty заказчик платит в целом за обнаруженные уязвимости и получает огромный поток, приходится тратить много ресурсов на верификацию».

В новом формате планируется сформировать реестр недопустимых событий и выплачивать вознаграждение за цепочку атак, которая однозначно приведет к неприемлемому ущербу.

То есть, поясняет Андрей Бершадский, заказчик сэкономит на верификации, а хакеру демонстрация неприемлемого ущерба может принести больший доход.

Однако менеджер по развитию бизнеса группы Angara Анна Михайлова опасается, что подобная схема может использоваться компаниями как очередной критерий для отказа в вознаграждении: «Оценка рисков и тем более ущерба — не настолько прозрачный процесс, особенно когда его нужно увязывать с уязвимостями».

О планах создания российского аналога HackerOne уже заявлял и «Ростелеком». Запрос на создание платформы пришел от банковского сообщества во главе с ЦБ, пояснили “Ъ” в «Ростелеком-Солар». В июне компания также запустила программу поиска уязвимостей в программном и аппаратном обеспечении разработчиков в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика РФ».

В ВТБ считают создание платформы для «белых хакеров» целесообразным. Дополнительную пользу она может принести за счет публикации информации о типовых недопустимых событиях для бизнес-систем различного класса, полагают в пресс-службе банка: «Это позволит компаниям повысить релевантность собственных моделей угроз». Агрегатор по поиску уязвимостей поможет снять массу бюрократических вопросов в организации такого процесса внутри компаний, и, при грамотной реализации сервиса, он избавит «золотоискателей» от рисков потенциальных невыплат, отмечает ведущий системный инженер Varonis Systemes Александр Ветколь.

Сейчас программы bug bounty активнее всего используют крупные зарубежные IT-корпорации. Так, у Microsoft действуют 17 программ, в рамках которых в 2020 году 341 исследователь представил компании в общей сложности 1,2 тыс. отчетов об уязвимостях, заработав в целом $13,6 млн, сообщало издание SecurityLab. В 2020 году Google почти вдвое увеличила сумму вознаграждения за уязвимости и выплатила $6,7 млн. Максимальное вознаграждение за одну уязвимость составило $132,5 тыс. Российская Ozon размещает bug bounty—программу на HackerOne и предлагает вознаграждение от $150 до $3 тыс.

Однако эксперты сомневаются в перспективах российских проектов. Создание такой платформы в РФ, если она будет ориентирована только на отечественный бизнес, бессмысленно, поскольку он не располагает бюджетами на оплату подобных специалистов, полагает ведущий инженер CorpSoft24 Михаил Сергеев: «Только очень крупные компании могут себе позволить "белых хакеров", и, как показывает практика, даже они часто не реагируют на сообщения о найденных багах».

Запуск bug bounty—программы требует дополнительных финансовых затрат и определенного уровня зрелости процессов информбезопасности, что снижает список потенциальных клиентов такой площадки в России, согласен руководитель группы по оказанию услуг в области кибербезопасности КПМГ Илья Шаленков. Востребованность подобного сервиса российскими разработчиками, добавляет Александр Ветколь, подразумевает принятие ими «права на ошибку».

Юлия Степанова