КиберпанкДеталиИнтернет

В России создадут платформу для найма «белых» хакеров. Кто это такие и за что им платят тысячи долларов

Positive Technologies планирует запустить в России аналог международной платформы HackerOne по поиску уязвимостей в программном обеспечении различных компаний.

Крупные организации готовы платить за поиск уязвимостей большие суммы — Microsoft за 2020 год заплатила «этичным» хакерам $13,6 млн.

Что происходит

Positive Technologies планирует создать в РФ платформу-агрегатор программ для «белых» хакеров по поиску уязвимостей — bug bounty. 

Почему это важно

В 2020 году из-за хакерских атак российские банки потеряли 35 млн рублей, а мировая экономика — более $1 трлн.

Мировая практика

Bug bounty активнее всего используют крупные зарубежные ИТ-корпорации, в том числе Microsoft и Google. В России bug bounty пользуются, например, Ozon и Mail.ru Group.

Но при этом

Эксперты сомневаются в успехе проекта: у российских компаний часто нет бюджетов на подобные услуги, и они не всегда реагируют на сообщения об уязвимостях.

Что происходит

Positive Technologies планирует создать в России аналог международной платформы HackerOne по поиску уязвимостей в безопасности сервисов и приложений.

  • Новый сервис намерены запустить в мае 2022 года. Он станет агрегатором программ для «этичных» хакеров по поиску уязвимостей — bug bounty.
  • Новая российская платформа, название которой пока не известно, станет посредником между заказчиками, которые хотят проверить свои системы на безопасность, и хакерами, которые получат вознаграждение за найденные уязвимости. 
  • Сейчас в России такой системы нет, отдельные bug bounty от российских компаний размещаются на международном агрегаторе HackerOne, отметил представитель Positive Technologies Ярослав Бабин.
  • На платформе планируется ввести не только традиционный, но и новый формат вознаграждения, добавил директор центра компетенции Positive Technologies Андрей Бершадский: «В традиционной программе bug bounty заказчик платит в целом за обнаруженные уязвимости и получает огромный поток, приходится тратить много ресурсов на верификацию».
  • В новом формате планируется выплачивать вознаграждение хакерам только за обнаружение уязвимостей, которые однозначно приведут к неприемлемому ущербу. Так заказчик сэкономит на верификации, а хакер сможет получить доход, поясняет Бершадский.

Аналогичную платформу по запросу банков планируют разработать в «Ростелекоме». 

Почему это важно

  • Банки фиксируют рост атак на свои системы. Чем больше услуг они предоставляют удаленно, тем выше риски кибератак, считают в ЦБ. Регулятор по итогам 2020 года зафиксировал 130 успешных атак на банки, с помощью которых преступники похитили в общей сложности 35 млн рублей. В 2019 году успешных случаев было 58, а хакеры украли 26,2 млн рублей.
  • Всего за 2020 год из-за хакерских атак мировая экономика потеряла более $1 трлн, подсчитали специалисты компании McAfee и Центра стратегических и международных исследований.
  • Взлом Facebook в 2020 году спровоцировал утечку в Сеть данных 150 млн пользователей, а компании пришлось заплатить $5 млрд штрафа.
  • В начале 2021-го хакеры атаковали информационные системы оператора трубопровода Colonial Pipeline, снабжающего нефтепродуктами значительную часть США. Colonial Pipeline заплатила киберпреступникам $4,4 млн выкупа в криптовалюте.

Мировая практика

Сейчас программы bug bounty активнее всего используют крупные зарубежные ИТ-корпорации. Они готовы платить за поиск уязвимостей все более значительные суммы.

  • Microsoft за 2020 год в рамках программ bug bounty выплатила $13,6 млн в качестве вознаграждения за обнаруженные уязвимости более чем 340 специалистам по кибербезопасности из 58 стран. Самая крупная награда составила $200 тыс. 
  • Google в 2020 году заплатила $6,7 млн вознаграждения более чем 660 «этичным хакерам» из 62 стран.

Российские компании тоже заинтересованы в поиске уязвимостей в своих системах.

  • Mail.ru Group (с октября 2021-го переименована в VK) к 2020 году заплатила «белым» хакерам более $1 млн в качестве вознаграждения. В 2021 году компания подняла оплату за обнаружение уязвимостей до $40 тыс.
  • Ozon в 2020 году разместил bug bounty–программу на HackerOne и предлагает вознаграждение от $150 до $3 тыс. 
  • Тинькофф Банк в марте 2021 года также подключился к платформе HackerOne. Кроме того, банк принимает активное участие в разработке российского аналога HackerOne на базе «Ростелекома».

Но при этом

Некоторые эксперты высказывают сомнения в успехе российских проектов. 

  • Формат, предлагаемый Positive Technologies, при котором награду платят только за обнаружение масштабных уязвимостей, может быть невыгодным для хакеров, опасается менеджер по развитию бизнеса группы Angara Анна Михайлова.
  • Создание такой платформы в РФ, если она будет ориентирована только на отечественный бизнес, бессмысленно, полагает ведущий инженер CorpSoft24 Михаил Сергеев. «Только очень крупные компании могут себе позволить «этичных» хакеров, и, как показывает практика, даже они часто не реагируют на сообщения о найденных багах», — объяснил эксперт.
  • С этим согласен и специалист в области кибербезопасности Илья Шаленков. По его словам, запуск bug bounty–программы требует крупных финансовых затрат, что снижает список потенциальных клиентов такой площадки в России.
Копировать ссылкуСкопировано