Антон Лопаницын, аналитик по информационной безопасности

Как сегодня в России работают «белые хакеры» (багхантеры, специалисты по поиску уязвимостей в IT-системах компаний), “Ъ” рассказал исследователь кибербезопасности Антон Лопаницын.

— Какие проблемы сейчас возникают у багхантеров?

— В целом проблем нет. Да, ушли крупнейшие площадки по Bug Bounty (программа, в ходе которой компания привлекает сторонних специалистов по безопасности для тестирования своих IT-систем.— “Ъ”), типа hackerone, но появились российские, которые активно продвигаются, расширяются. Все больше компаний задумываются о безопасности и подключают программы вознаграждений за поиск уязвимостей. Особенно круто, что подключилось государство, теперь можно официально попытаться взломать сайты той же Минцифры, сделать их безопаснее.

— Как вы оцениваете состояние защищенности российских компаний?

— Степень зрелости компаний в плане безопасности увеличивается, появляются новые процессы, включая Bug Bounty, которые позволяют минимизировать риски взлома. Bug Bounty, как правило, обходится дешевле, чем профильные специалисты в штате. А сфера кибербезопасности испытывает огромный кадровый голод, так что это отличное решение.

— Чего сейчас хотят хакеры, атакующие российский бизнес? С 2022 года росли атаки на госсектор, сейчас — именно на компании. Почему?

— Не секрет, что с 2022 года поднялась волна политически настроенных хакеров, которые пытались нанести максимальный ущерб или поиграть в информационную войну. Сейчас эта мотивация сходит на нет, а многие признали, что у них проблемы с безопасностью. Но основная мотивация взломщиков сильно не менялась, это зарабатывание денег. Получив доступ к инфраструктуре компании, нужно получить доступ к критически важным данным, чтобы зашифровать их и получить выкуп.

— Какие отрасли в основном под ударом?

— Атакующие переключились с большого на средний бизнес. Это указывает на то, что крупные компании вкладываются в ИБ не зря. Чего не скажешь о средних предприятиях. С точки зрения злоумышленников, тут два плюса. Атакуя условную сеть аптек, ты получишь гораздо меньшее вознаграждение, вымогая деньги за восстановление данных. Но зато будешь меньше конкурировать с другими хакерскими группировками, так как подобных компаний намного больше. Отрасль в этом случае не сильно имеет значение.

— Вырос ли спрос на услуги багхантеров в целом?

— Тут нужно не путать два вида деятельности: багхантинг — охота за ошибками в виде конкурса (программы Bug Bounty) — либо тестирование на проникновение и аудит безопасности. На последнее сильно вырос спрос, если пять—десять лет назад многие небольшие конторы по анализу защищенности быстро умирали, спрос был меньше предложения, то сейчас, наоборот, растет количество мелких подрядчиков, которые оценят безопасность сайта и сетевого периметра за меньшую цену.

— «Белые хакеры» и в целом ИБ-специалисты вашего профиля в РФ находятся в сером правовом поле. Это сказывается на работе?

— Все сильно зависит от того, кого ты пытаешься взломать и на каких условиях — это договор, Bug Bounty или вообще третье лицо. В целом при проведении работ по пентесту всегда есть NDA (договор о неразглашении.— “Ъ”) и договор о предоставлении услуг на консалтинг. Лично со мной никаких неприятных историй не было. Неприятности случались у знакомых, но, как правило, это было связано с заказчиками, которые не понимают, зачем они вообще зовут хакеров проверить свою компанию.

Bug Bounty — тоже оговоренное мероприятие. Там свои тонкости. Например, запрещена постэксплуатация. Ты нашел уязвимость, получил данные произвольного пользователя. Если ты проверишь тестовые учетные записи — классно, держи деньги. Если воспользовался уязвимостью и украл данные клиентов — нарушение закона.

— Насколько часто хакеры «совмещают» законную и незаконную работу? Спасают одни компании и атакуют другие?

— Про атаки на другие ресурсы могу сказать одно: этика все еще не так развита у нас, как за рубежом. Русский менталитет можно заметить по статьям, где хакер, называющий себя «белым», атакует произвольную компанию, которая на это не соглашалась и требует деньги. Видите ли, за любую работу нужно платить. Это уже можно расценивать как вымогательство.

Интервью взяла Татьяна Исакова