Positive Technologies запланировала запуск агрегатора программ для «белых хакеров»
Positive Technologies запустит в России платформу для так называемых белых хакеров, которые проверяют на прочность информационные системы бизнеса за вознаграждение. Эксперты отмечают, что у российских компаний, в отличие от зарубежных, часто нет бюджетов на подобные услуги
Компания Positive Technologies запланировала на май 2022 года запуск платформы bug bounty, агрегатора программ по поиску уязвимостей, в которых за вознаграждение участвуют так называемые белые или этичные хакеры. Они по запросу самих компаний проверяют на прочность их информационные системы и сети, пишет «Коммерсантъ» со ссылкой на представителей Positive Technologies.
Как рассказал газете руководитель отдела анализа защищенности приложений Positive Technologies Ярослав Бабин, платформа станет посредником между «этичными хакерами» и компаниями. «Сейчас в России такой системы нет, отдельные bug bounty от российских компаний размещаются на международной HackerOne», — отметил он. Директор центра компетенции Positive Technologies Андрей Бершадский добавил, что новая платформа будет отличаться от традиционных программ bug bounty.
«В традиционной программе bug bounty заказчик платит в целом за обнаруженные уязвимости и получает огромный поток, приходится тратить много ресурсов на верификацию», — сказал Бершадский. В новом же формате предполагается сформировать реестр недопустимых событий и выплачивать вознаграждение за цепочку атак, которая однозначно приведет к неприемлемому ущербу. По словам Бершадского, в этом случае заказчик сэкономит на верификации, а хакеру демонстрация неприемлемого ущерба может принести вознаграждение в большем размере.
Менеджер по развитию бизнеса группы Angara Анна Михайлова предупредила, что предложенная Positive Technologies схема может стать для самих компаний поводом для отказа в выплатах «белым хакерам». «Оценка рисков и тем более ущерба — не настолько прозрачный процесс, особенно когда его нужно увязывать с уязвимостями», — отметила она. Ведущий системный инженер Varonis Systemes Александр Ветколь полагает, что агрегатор по поиску уязвимостей поможет снять массу бюрократических вопросов в организации такого процесса внутри компаний. Кроме того, отметил собеседник газеты, при грамотной реализации сервиса он избавит «золотоискателей» от рисков потенциальных невыплат.
По мнению Ветколя, востребованность сервиса российскими разработчиками зависит от степени принятия ими «права на ошибку». В пресс-службе ВТБ отметили, что создание платформы для «белых хакеров» целесообразно, а ее дополнительной пользой могут стать публикации информации о типовых недопустимых событиях для бизнес-систем различного класса. «Это позволит компаниям повысить релевантность собственных моделей угроз», — сказали в банке.
Ранее о планах по созданию российского аналога международной платформы HackerOne заявлял «Ростелеком». В «Ростелеком-Солар» уточнили, что запрос на создание платформы пришел от банковского сообщества во главе с ЦБ. В июне компания уже запустила программу поиска уязвимостей в программном и аппаратном обеспечении разработчиков для федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика РФ».
По мнению опрошенных газетой экспертов, у российских компаний нет бюджета на выплаты «белым хакерам», которых нанимают для проверки информсистем на прочность. «Только очень крупные компании могут себе позволить «белых хакеров», и, как показывает практика, даже они часто не реагируют на сообщения о найденных багах», — сказал ведущий инженер CorpSoft24 Михаил Сергеев. Руководитель группы по оказанию услуг в области кибербезопасности КПМГ Илья Шаленков подтвердил, что запуск bug bounty потребует дополнительных финансовых затрат и определенного уровня зрелости процессов информационной безопасности. Это существенно ограничит список потенциальных клиентов такой площадки в России отметил Шаленков.
Программы bug bounty широко применяют крупные зарубежные IT-корпорации. У Microsoft действуют 17 программ: по данным SecurityLab, в 2020 году 341 исследователь представил компании в общей сложности 1200 отчетов об уязвимостях, заработав в целом $13,6 млн. В 2020 году Google почти вдвое увеличила сумму вознаграждения за уязвимости и выплатила $6,7 млн. Максимальное вознаграждение за одну уязвимость составило $132 500. Российская компания Ozon размещает bug bounty программу на HackerOne и предлагает вознаграждение от $150 до $3000.