Уязвимостям найдут цену
Минцифры рассматривает введение государственных тарифов на Bug Bounty
Минцифры считает необходимым закрепить государственные тарифы на выплаты за участие «белых хакеров» в Bug Bounty, программе по поиску уязвимостей в IT-системах за вознаграждение. Участники рынка приветствуют предложение министерства, но указывают, что заинтересовать программистов работой с госсектором можно будет, только если тарифы на участие в Bug Bounty будут не ниже рыночных.
Фото: Анатолий Жданов, Коммерсантъ
Минцифры рассматривает введение «государственных трафив» за участие в программе Bug Bounty — поиске «белыми хакерами» уязвимостей в IT-системах за вознаграждение. Об этом сообщил замминистра Минцифры Александр Шойтов 6 ноября в рамках SOC Forum 2024. По его словам, это одна из мер, направленных на «нормализацию процедуры». «Сейчас многие федеральные и региональные органы власти используют соответствующую программу, однако пока ее не делают обязательной, как это предлагают некоторые участники рынка»,— рассказал он. В частности, еще необходимо обосновать ее эффективность, а также определить зоны ответственности участников тестирования. Для введения Bug Bounty как обязательной процедуры ее необходимо нормализовать, в частности ввести государственные тарифы, заключает господин Шойтов. По словам собеседника “Ъ” на рынке кибербезопасности, речь идет о тарифах на выплаты «белым хакерам» за найденные уязвимости.
В Минцифры “Ъ” пояснили, что инициатива еще прорабатывается и «говорить о каких-либо подробностях и конкретных мероприятиях рано». В министерстве добавляют, что обсуждают различные варианты с ведомствами и отраслью.
Работа по масштабированию в госсекторе программы Bug Bounty ведется еще с 2022 года, когда значительно возросли кибератаки на российские IT-системы, в частности государственные. Так, одними из первых к программе были подключены Минцифры и портал «Госуслуг». В декабре 2023 года в Госдуму внесли первый законопроект, призванный регламентировать деятельность «белых хакеров», тогда же велась разработка второго проекта, который должен был стандартизировать тестирование информсистем (см. “Ъ” от 2 апреля). В августе 2023 года проведение Bug Bounty включили в рейтинг цифровой трансформации госорганов.
Введение тарифов необходимо, чтобы стандартизировать Bug Bounty, объясняет коммерческий директор «Кода Безопасности» Федор Дбар и добавляет, что тарифы нужны еще и «с учетом того, что Bug Bounty может стать обязательной для КИИ и госорганов». Технический директор «Гарда WAF» Лука Сафонов сообщил, что речь идет о разработке сетки тарифов по федеральным округам и «отдельной для общероссийских сервисов типа "Госуслуг"». Он уточняет, что по федокругам суммы выплат могут составить 30–50 тыс. руб. за критические уязвимости, для сервисов — до миллиона рублей.
Введение государственных тарифов оценивается участниками рынка положительно. «Бизнес сам может определять тарифы на подобную деятельность. Когда речь заходит про государственные системы, вопрос тарифообразования должен быть унифицирован»,— считает директор центра противодействия кибератакам Solar JSOC ГК «Солар» Владимир Дрюков. «Уверен, что тарифы учтут не только интересы бизнеса, но и доходные ожидания сторонних команд, которые участвуют в Bug Bounty и ищут уязвимости в инфраструктуре»,— добавляет Федор Дбар. В BI.ZONE и Positive Technologies инициативу не прокомментировали.
Оценивая риски, связанные с введением тарифов, гендиректор компании «Интернет-розыск» Игорь Бедеров указывает, что участники Bug Bounty могут потерять стимул к работе с уязвимостями, если фиксированная цена за их выявление не будет соответствовать реальному масштабу их значимости и не будет отражать динамику рынка, где стоимость услуг по ИБ оценивается высоко.