«Отложить киберзащиту на потом невозможно»
Александр Леви — об инициативе «Яндекса»
Обозреватель “Ъ FM” Александр Леви рассказывает о том, как компания намерена привлечь «белых хакеров» к обнаружению уязвимостей в умных устройствах.
Фото: Дмитрий Лебедев, Коммерсантъ
Фото: Дмитрий Лебедев, Коммерсантъ
Организация кибербезопасности в компаниях, особенно IT-сферы, часто подразумевает программы bug bounty: так называемым белым хакерам предлагают найти уязвимости в системе или продуктах в обмен на вознаграждение.
Диапазон потенциальных угроз, как и выплаты за их выявление, довольно широкий. К примеру, Apple в зависимости от категории уязвимости и ее возможного влияния готова раскошелиться на сумму от $500 до $2 млн. В Google стартовый денежный приз аналогичный, а вот максимальная мотивация ограничена $1 млн. В корпорации Meta, признанной экстремисткой и запрещенной в России, бюджет еще скромнее: сумма наград варьируется от $500 до $300 тыс.
Cisco, Microsoft, eBay, Mozilla и прочие крупные компании регулярно проводят собственные bug bounty. В России деятельность «белых хакеров» законодательно пока не регулируется, и даже силовые структуры выступали против ее легализации. При этом отложить киберзащиту на потом невозможно, поэтому программы по выявлению уязвимостей отечественные компании проводят и открывают соответствующие новые площадки.
Так, в «Яндекс» (MOEX: YNDX) объявили об увеличении максимальной награды для участников «Охоты за ошибками». Сумма выросла с 600 тыс. руб. до 1 млн руб. для уязвимостей в умных устройствах. Мера должна привлечь большее число «белых хакеров», уверены организаторы.
Призовой фонд, конечно, пока на порядки меньше зарубежных. Но если взглянуть на его разовый прирост в 2/3 от прежней суммы, то план может сработать. Тем более с ростом популярности умных устройств уровень критичности их уязвимости также заметно повышается. К прежним устройствам в текущей программе добавили «Станцию Дуо Макс», «Миди» и «ТВ Станцию».
«Охота за ошибками» — лишь один из элементов программы безопасности «Яндекса». В 2023 году компания инвестировала в цифровую защиту более 6 млрд руб., и эта сумма вдвое больше, чем в 2022-м.