Российские разработчики запустят аналоги международной платформы HackerOne
«Киберполигон» и Positive Technologies готовятся к запуску аналогов международной платформы HackerOne. Она остановила выплаты за поиски уязвимостей «белым хакерам» из России и Белоруссии. Эксперты отмечают, что размер вознаграждений на российских площадках позволит привлечь профессионалов, но им предстоит заработать авторитет
Российские разработчики готовят запуск аналогов международной платформы HackerOne — она приостановила сотрудничество с хакерами, которые занимаются поиском уязвимостей (багов) за вознаграждение, из России и Белоруссии. С 1 апреля программы «охоты за багами» откроет платформа компании «Киберполигон», в мае появится платформа Positive Technologies. Об этом пишет «Коммерсантъ» со ссылкой на представителей компаний.
«Киберполигон» гендиректора компании Луки Сафонова планирует в перспективе одного-двух месяцев запустить 10–15 публичных программ Bug Bounty (охота за багами) и такое же число приватных. Количество «белых хакеров» на платформе составит до 2500. Максимальная сумма вознаграждения за критичную уязвимость в одной из программ составляет 3 млн рублей сообщил Сафонов. «Специфика российского бизнеса такова, что информацию об уязвимостях клиенты воспринимают как репутационный риск, поэтому предпочитают участвовать в программах непублично», — добавил он.
Positive Technologies анонсировала Bug Bounty осенью прошлого года. Ее запуск запланирован на май, уточнил руководитель отдела анализа защищенности приложений компании Ярослав Бабин. Размер оплаты за отдельную найденную ошибку составляет от 5000 до 400 000 рублей. Цена за реализацию недопустимых событий и инцидентов может быть в десятки раз выше, добавил собеседник газеты.
По словам Бабина, переговоры ведутся с семью потенциальными клиентами. «Спрос на подобные услуги есть у 10–20 компаний, но в следующем году их число может вырасти до 50», — ожидает собеседник. По его оценке, на горизонте трех лет основной спрос по поиску уязвимостей будет у IT-компаний, e-commerce и банков.
Коммерческий директор компании «Код безопасности» Федор Дбар назвал расценки отечественных платформ достойными даже по международным меркам. По его мнению, специалисты, которые будут искать уязвимости, «должны подобраться весьма профессиональные». У российских специалистов по поиску уязвимостей «есть веская причина, чтобы переключиться на отечественные альтернативы», отметил руководитель отдела анализа защищенности Angara Security Сергей Гилев.
Крупные российские компании участвовали в программах Bug Bounty, в основном через HackerOne. Но платформа приостановила выплаты российским пользователям — как частным исследователям безопасности, так и компаниям, например, «Лаборатории Касперского». HackerOne в дополнение к внутренней программе Bug Bounty, например, использовала «Азбука вкуса».
«Нам было бы интересно воспользоваться отечественной платформой, поскольку с ее помощью получится охватить больше исследователей», — сказали в компании. В 2021 году собственную программу Bug Bounty запустила Wildberries. Компания оценивает ее как «полезную и эффективную».
Если правила участия в программах Bug Bounty будут понятными, система оценки найденных уязвимостей — прозрачной, а выплаты — своевременными, то это направление в России будет стремительно развиваться, отметил эксперт департамента управления рисками «Делойт» в СНГ Кирилл Буреев. По его словам, в первое время востребованность отечественных платформ может оказаться невысокой — организаторам нужно наработать успешные практики.