«Белых хакеров» завлекают в Россию
Отечественные платформы для поиска уязвимостей ищут клиентов
«Киберполигон» и Positive Technologies готовятся в ближайшее время запустить аналоги международной платформы HackerOne, которая остановила выплаты за поиски уязвимостей (багов) хакерам из России и Белоруссии. Анонсированный размер вознаграждений российских площадок соответствует международным, что позволит привлечь профессионалов высокого уровня, полагают эксперты. Однако они сомневаются, что, по крайней мере в первое время, активность на платформах будет высокой, им придется заработать авторитет.
На фоне приостановки сотрудничества международной платформы HackerOne с хакерами, которые занимаются поиском уязвимостей компаний за вознаграждение, из России и Белоруссии отечественные разработчики готовятся запустить аналоги. Так, с 1 апреля публичные программы Bug Bounty («охота за багами») открывает платформа компании «Киберполигон», а в мае появится платформа Positive Technologies, рассказали “Ъ” их представители. Аналогичный проект анонсировал «Ростелеком», но компания не ответила на вопросы “Ъ” о его статусе.
«Киберполигон» (принадлежит гендиректору Луке Сафонову) рассчитывает, что в перспективе одного-двух месяцев на платформе будет запущено 10–15 публичных программ Bug Bounty и такое же число приватных, а количество «белых хакеров» на ней составит до 2,5 тыс.
Максимальная сумма вознаграждения за критичную уязвимость в одной из программ, которые появятся на платформе в апреле, составляет 3 млн руб., говорит Лука Сафонов: «Специфика российского бизнеса такова, что информацию об уязвимостях клиенты воспринимают как репутационный риск, поэтому предпочитают участвовать в программах непублично».
Positive Technologies анонсировала Bug Bounty еще осенью (см. “Ъ” от 26 ноября 2021 года). Ее запуск запланирован на май, уточнил руководитель отдела анализа защищенности приложений Positive Technologies Ярослав Бабин. Размер оплаты за отдельную найденную ошибку составляет от 5 тыс. руб. до 400 тыс. руб. и более, а цена за реализацию недопустимых событий и инцидентов может быть в десятки раз выше, уточнил он. По словам господина Бабина, сейчас ведутся переговоры с семью потенциальными клиентами: «Спрос на подобные услуги есть у 10–20 компаний, но в следующем году их число может вырасти до 50». По его мнению, на горизонте трех лет основной спрос по поиску уязвимостей будет у IT-компаний, e-commerce и банков.
Расценки отечественных платформ достойны даже по международным меркам, поэтому специалисты, которые будут искать уязвимости, «должны подобраться весьма профессиональные», считает коммерческий директор компании «Код безопасности» Федор Дбар.
На фоне отказа международных платформ от сотрудничества у российских специалистов по поиску уязвимостей «есть веская причина, чтобы переключиться на отечественные альтернативы», добавляет руководитель отдела анализа защищенности Angara Security Сергей Гилев.
Крупные российские компании уже участвовали в программах Bug Bounty, в основном через HackerOne. После того как платформа приостановила выплаты российским пользователям — как частным исследователям безопасности, так и компаниям, например, «Лаборатории Касперского», российские клиенты задумались о поиске альтернативы (см. “Ъ” от 17 марта). В частности, HackerOne в дополнение к внутренней программе Bug Bounty использовала «Азбука вкуса». «Нам было бы интересно воспользоваться отечественной платформой, поскольку с ее помощью получится охватить больше исследователей»,— говорят в компании. В 2021 году собственную программу Bug Bounty запустила Wildberries. Компания оценивает ее как «полезную и эффективную».
Если правила участия в программах Bug Bounty будут понятными, система оценки найденных уязвимостей — прозрачной, а выплаты — своевременными, можно ожидать стремительного развития этого направления в России, полагает эксперт департамента управления рисками «Делойт» в СНГ Кирилл Буреев: «Но первое время востребованность отечественных платформ может оказаться не такой высокой, так как организаторам необходимо наработать успешные практики».