Баги в правильном направлении
В России могут создать платформы для найма «белых хакеров»
Positive Technologies планирует запустить в России аналог международной платформы по поиску уязвимостей HackerOne. Сервис должен стать посредником между компаниями, которые хотят проверить свои информационные системы на безопасность, и хакерами, которые получат вознаграждение за их взлом. Разработать аналогичную платформу по запросу банков планирует и «Ростелеком». Но эксперты сомневаются в успехе проектов: у российских компаний, в отличие от зарубежных, часто нет бюджетов на подобные услуги, и они часто просто не реагируют на сообщения об уязвимостях.
Представитель Positive Technologies рассказал “Ъ”, что компания планирует в мае 2022 года запустить в России платформу, которая станет агрегатором программ для «этичных хакеров» по поиску уязвимостей — bug bounty. В рамках подобных программ хакеры получают от компаний вознаграждение за найденные в их IT-сетях, системах и приложениях уязвимости. По словам руководителя отдела анализа защищенности приложений Positive Technologies Ярослава Бабина, платформа станет посредником между «этичными хакерами» и компаниями: «Сейчас в России такой системы нет, отдельные bug bounty от российских компаний размещаются на международной HackerOne».
Программу планируется проводить не только в традиционном, но и в новом формате, отметил директор центра компетенции Positive Technologies Андрей Бершадский: «В традиционной программе bug bounty заказчик платит в целом за обнаруженные уязвимости и получает огромный поток, приходится тратить много ресурсов на верификацию».
В новом формате планируется сформировать реестр недопустимых событий и выплачивать вознаграждение за цепочку атак, которая однозначно приведет к неприемлемому ущербу.
То есть, поясняет Андрей Бершадский, заказчик сэкономит на верификации, а хакеру демонстрация неприемлемого ущерба может принести больший доход.
Однако менеджер по развитию бизнеса группы Angara Анна Михайлова опасается, что подобная схема может использоваться компаниями как очередной критерий для отказа в вознаграждении: «Оценка рисков и тем более ущерба — не настолько прозрачный процесс, особенно когда его нужно увязывать с уязвимостями».
О планах создания российского аналога HackerOne уже заявлял и «Ростелеком». Запрос на создание платформы пришел от банковского сообщества во главе с ЦБ, пояснили “Ъ” в «Ростелеком-Солар». В июне компания также запустила программу поиска уязвимостей в программном и аппаратном обеспечении разработчиков в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика РФ».
В ВТБ считают создание платформы для «белых хакеров» целесообразным. Дополнительную пользу она может принести за счет публикации информации о типовых недопустимых событиях для бизнес-систем различного класса, полагают в пресс-службе банка: «Это позволит компаниям повысить релевантность собственных моделей угроз». Агрегатор по поиску уязвимостей поможет снять массу бюрократических вопросов в организации такого процесса внутри компаний, и, при грамотной реализации сервиса, он избавит «золотоискателей» от рисков потенциальных невыплат, отмечает ведущий системный инженер Varonis Systemes Александр Ветколь.
Евгений Касперский, основатель и гендиректор «Лаборатории Касперского», в интервью “Ъ” в июне 2021 года:
«Киберпреступники есть везде — где-то их больше, где-то меньше. В Америке меньше, потому что ФБР их почистило очень хорошо».
Сейчас программы bug bounty активнее всего используют крупные зарубежные IT-корпорации. Так, у Microsoft действуют 17 программ, в рамках которых в 2020 году 341 исследователь представил компании в общей сложности 1,2 тыс. отчетов об уязвимостях, заработав в целом $13,6 млн, сообщало издание SecurityLab. В 2020 году Google почти вдвое увеличила сумму вознаграждения за уязвимости и выплатила $6,7 млн. Максимальное вознаграждение за одну уязвимость составило $132,5 тыс. Российская Ozon размещает bug bounty—программу на HackerOne и предлагает вознаграждение от $150 до $3 тыс.
Однако эксперты сомневаются в перспективах российских проектов. Создание такой платформы в РФ, если она будет ориентирована только на отечественный бизнес, бессмысленно, поскольку он не располагает бюджетами на оплату подобных специалистов, полагает ведущий инженер CorpSoft24 Михаил Сергеев: «Только очень крупные компании могут себе позволить "белых хакеров", и, как показывает практика, даже они часто не реагируют на сообщения о найденных багах».
Запуск bug bounty—программы требует дополнительных финансовых затрат и определенного уровня зрелости процессов информбезопасности, что снижает список потенциальных клиентов такой площадки в России, согласен руководитель группы по оказанию услуг в области кибербезопасности КПМГ Илья Шаленков. Востребованность подобного сервиса российскими разработчиками, добавляет Александр Ветколь, подразумевает принятие ими «права на ошибку».