Уязвленное вознаграждение

Общие выплаты «белым хакерам» только на ключевых платформах по итогам 2025 года достигли сотен миллионов рублей, увеличившись почти вдвое по сравнению с предыдущим годом. При сохранении динамики, по прогнозам экспертов, объем этого рынка может достичь 1 млрд руб. в течение трех лет. Активнее всего к программам поиска уязвимостей подключаются компании из сферы онлайн-услуг, IT и госсектора, однако отрасль по-прежнему существует в правовом вакууме, напоминают юристы.

Выйти из полноэкранного режима

Развернуть на весь экран

Российский рынок Bug Bounty, где независимые специалисты ищут уязвимости в IT-системах за вознаграждение, в 2025 году показал заметный рост. Так, «белым хакерам» было выплачено 161 млн руб., что на 49% больше, чем за 2024 год, отмечают эксперты Positive Technologies (Standoff Bug Bounty). Максимальная единоразовая выплата составила без малого 5 млн руб.

В среднем независимые эксперты за обнаруженные уязвимости получали 65,4 тыс. руб., на 12% больше, чем в прошлом году.

Российский рынок Bug Bounty демонстрирует устойчивый рост, добавляют в Positive Technologies. При сохраняющейся тенденции расширения числа программ и вовлеченности компаний рынок поиска уязвимостей за вознаграждение может составить 1 млрд руб. в ближайшие три года.

Платформа Bug Bounty компании Bi.Zone также удвоила количество программ, а общие выплаты ИБ-исследователям составили 100 млн руб. «В 2025 году мы увидели рост интереса к платформе со стороны компаний из сферы онлайн-услуг и IT-сектора. Для организаций с большим количеством веб-ресурсов Bug Bounty становится эффективным способом проверить устойчивость собственных продуктов в условиях быстрого развития и регулярных обновлений»,— добавляет руководитель продукта Bi.Zone Bug Bounty Андрей Левкин.

Также он отмечает, что на платформу продолжает выходить госсектор. Так, например, в 2025 году Минцифры запустило новый этап по выявлению уязвимостей в личном кабинете избирателя, в Единой биометрической системе и других государственных IT-системах.

Несмотря на то что индустрия Bug Bounty в России активно развивается, в законодательстве по-прежнему нет отдельного режима для таких платформ, отмечает адвокат Forward Legal Сергей Кокорев.

Грань между «этичным хакингом» и преступлением, по его словам, проходит по линии согласия и зафиксированных правил участия, а если они не закреплены, юридической защиты нет. «Скорее всего, наиболее реалистичной для России станет мягкая модель с рекомендациями регуляторов (например, от ФСТЭК или Минцифры) и возможным переходом к саморегулированию в отрасли»,— полагает господин Кокорев.

Среди рисков для организаторов таких программ руководитель направления «Разрешения IT&IP-споров» фирмы «Рустам Курмаев и партнеры» Ярослав Шицле называет необходимость учитывать внутренние регламенты и корпоративные ограничения, а также законодательство о защите персональных данных, связи, коммерческой тайне.

«В случае, если в ходе исследования “белый хакер” сможет получить доступ к охраняемой законом информации, заказчик должен необходимым образом оформить передачу такой информации. Несоблюдение такого условия может повлечь ответственность заказчика»,— предупреждает господин Шицле.

На рынке усиливается конкуренция за высококвалифицированных специалистов: сильные багхантеры — редкие кадры, а приток новых пока сдерживают в том числе законодательные риски и отсутствие сформированных условий участия для отдельных сегментов, включая КИИ и госкомпании, говорит заместитель гендиректора «Кибердома» Александра Шадюк. При этом именно для таких организаций Bug Bounty может стать одним из ключевых инструментов внешней оценки защищенности и индикатором эффективности выстроенных систем безопасности, считает она.

Филипп Крупанин