«Белых хакеров» завлекают в Россию

«Киберполигон» и Positive Technologies готовятся в ближайшее время запустить аналоги международной платформы HackerOne, которая остановила выплаты за поиски уязвимостей (багов) хакерам из России и Белоруссии. Анонсированный размер вознаграждений российских площадок соответствует международным, что позволит привлечь профессионалов высокого уровня, полагают эксперты. Однако они сомневаются, что, по крайней мере в первое время, активность на платформах будет высокой, им придется заработать авторитет.

На фоне приостановки сотрудничества международной платформы HackerOne с хакерами, которые занимаются поиском уязвимостей компаний за вознаграждение, из России и Белоруссии отечественные разработчики готовятся запустить аналоги. Так, с 1 апреля публичные программы Bug Bounty («охота за багами») открывает платформа компании «Киберполигон», а в мае появится платформа Positive Technologies, рассказали “Ъ” их представители. Аналогичный проект анонсировал «Ростелеком», но компания не ответила на вопросы “Ъ” о его статусе.

«Киберполигон» (принадлежит гендиректору Луке Сафонову) рассчитывает, что в перспективе одного-двух месяцев на платформе будет запущено 10–15 публичных программ Bug Bounty и такое же число приватных, а количество «белых хакеров» на ней составит до 2,5 тыс.

Максимальная сумма вознаграждения за критичную уязвимость в одной из программ, которые появятся на платформе в апреле, составляет 3 млн руб., говорит Лука Сафонов: «Специфика российского бизнеса такова, что информацию об уязвимостях клиенты воспринимают как репутационный риск, поэтому предпочитают участвовать в программах непублично».

Positive Technologies анонсировала Bug Bounty еще осенью. Ее запуск запланирован на май, уточнил руководитель отдела анализа защищенности приложений Positive Technologies Ярослав Бабин. Размер оплаты за отдельную найденную ошибку составляет от 5 тыс. руб. до 400 тыс. руб. и более, а цена за реализацию недопустимых событий и инцидентов может быть в десятки раз выше, уточнил он. По словам господина Бабина, сейчас ведутся переговоры с семью потенциальными клиентами: «Спрос на подобные услуги есть у 10 — 20 компаний, но в следующем году их число может вырасти до 50». По его мнению, на горизонте трех лет основной спрос по поиску уязвимостей будет у IT-компаний, e-commerce и банков.

Расценки отечественных платформ достойны даже по международным меркам, поэтому специалисты, которые будут искать уязвимости, «должны подобраться весьма профессиональные», считает коммерческий директор компании «Код безопасности» Федор Дбар.

На фоне отказа международных платформ от сотрудничества у российских специалистов по поиску уязвимостей «есть веская причина, чтобы переключиться на отечественные альтернативы», добавляет руководитель отдела анализа защищенности Angara Security Сергей Гилев.

Крупные российские компании уже участвовали в программах Bug Bounty, в основном через HackerOne. После того как платформа приостановила выплаты российским пользователям — как частным исследователям безопасности, так и компаниям, например, «Лаборатории Касперского», российские клиенты задумались о поиске альтернативы. В частности, HackerOne в дополнение к внутренней программе Bug Bounty использовала «Азбука вкуса». «Нам было бы интересно воспользоваться отечественной платформой, поскольку с ее помощью получится охватить больше исследователей»,— говорят в компании. В 2021 году собственную программу Bug Bounty запустила Wildberries. Компания оценивает ее как «полезную и эффективную».

Если правила участия в программах Bug Bounty будут понятными, система оценки найденных уязвимостей — прозрачной, а выплаты — своевременными, можно ожидать стремительного развития этого направления в России, полагает эксперт департамента управления рисками «Делойт» в СНГ Кирилл Буреев: «Но первое время востребованность отечественных платформ может оказаться не такой высокой, так как организаторам необходимо наработать успешные практики».

30.03.2022 01:35:00

Другие публикации

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Кибердетективы и «белые хакеры»: кто противостоит нарастающей киберугрозе

В интервью для РБК-Нижний Новгород генеральный директор Angara Security Сергей Шерстобитов рассказал, в каких отраслях наиболее высок спрос на ИБ-специалистов.


07.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах