В России задумались о создании платформы для найма белых хакеров
Фото: 123rf / Legion-Media
Positive Technologies планирует в мае следующего года запустить в России платформу, которая станет агрегатором программ для «этичных хакеров» по поиску уязвимостей — bug bounty. В рамках подобных программ хакеры получают от компаний вознаграждение за найденные в их IT-сетях, системах и приложениях уязвимости.
Платформа станет посредником между «этичными хакерами» и компаниями, рассказал руководитель отдела анализа защищенности приложений Positive Technologies Ярослав Бабин. По его словам, в настоящее время в РФ такой системы не существует, а отдельные bug bounty от российских компаний размещаются на международной HackerOne, пишет «Коммерсант».
При этом опрошенные изданием эксперты сомневаются в целесообразности создания подобного сервиса в стране. Так, ведущий инженер CorpSoft24 Михаил Сергеев считает, что российский бизнес не располагает необходимыми бюджетами, а крупные компании, которые могут себе позволить такую услугу, чаще всего не реагируют на сообщения о найденных багах.
О планах создания отечественного аналога HackerOne уже сообщал «Ростелеком». Запрос на создание платформы пришел от банковского сообщества во главе с Центробанком, пояснили газете в «Ростелеком-Соларе». Летом в компании была запущена программа поиска уязвимостей в программном и аппаратном обеспечении разработчиков в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика РФ».
В настоящее время программами bug bounty активнее всего пользуются крупные зарубежные IT-корпорации. Например, у Microsoft есть 17 программ, в рамках которых в прошлом году 341 исследователь представил компании в общей сложности 1,2 тысячи отчетов об уязвимостях, заработав в целом 13,6 миллиона долларов, писало издание SecurityLab. В прошлом году Google почти в два раза нарастил размер вознаграждения за уязвимости и выплатил 6,7 миллиона долларов. Максимальное вознаграждение за одну уязвимость составило 132,5 тысячи долларов. Российский Ozon размещает bug bounty-программу на HackerOne и предлагает вознаграждение от 150 до трех тысяч долларов.
