Уязвимостям ищут цену

Доходы «белых хакеров» от работы на специализированных платформах Bug Bounty (для поиска уязвимостей в IT-системах за вознаграждение) заметно выросли за 2024 год. На этом сказался, с одной стороны, рост популярности самого тестирования, с другой — рост ответственности компаний за критические инциденты. В следующем году участники рынка ожидают роста спроса на проведение Bug Bounty в госсекторе и среди малого и среднего бизнеса, который сталкивается с рисками уничтожения ИТ-инфраструктуры в результате кибератак.

Выйти из полноэкранного режима

Развернуть на весь экран

Как рассказали «Ъ-Review» в Positive Technologies (создатели платформы Standoff Bug Bounty), общая сумма вознаграждений, выплаченных исследователям с момента запуска платформы, достигла 158 млн руб. При этом средняя выплата за принятый отчет специалистов выросла за год на 13% и составила 58 тыс. руб. За 2024 год на платформе было принято 1,9 тыс. отчетов об уязвимостях — это на 43% больше, чем за 2023 год. При этом к концу 2024 года количество зарегистрированных на платформе исследователей достигло 18,4 тыс., увеличившись по сравнению с прошлым годом более чем в два раза.

По данным компании BI.ZONE, создателя платформы BI.ZONE Bug Bounty, за 2024 год сумма выплат независимым исследователям кибербезопасности составила 64 млн руб., что почти в два раза выше в сравнении с 2023 годом (35 млн руб.). Директор департамента анализа защищенности и противодействия мошенничеству BI.ZONE Евгений Волошин отметил, что субъекты РФ начали активно запускать свои Bug Bounty программы: «Количество организаций из госсектора на BI.ZONE Bug Bounty увеличилось втрое за прошедший год».

Государственный сектор стал рекордсменом по числу отчетов о критически опасных уязвимостях, подтверждают в Positive Technologies: «Они составили 19% от общего числа отчетов». В финансовой же сфере среди всех найденных уязвимостей высокого и критического уровня опасности более двух третей были вызваны нарушением контроля доступа, «что связано с высокой сложностью систем и многоуровневыми механизмами управления доступом». Также, по данным компании, в 2024 году доля отчетов об уязвимостях высокого и критического уровня опасности составила 31% от общего числа.

Во всех отраслях атак становится все больше, регуляторы закручивают гайки — как итог компании больше вкладываются в безопасность, объясняет основатель BugBounty.Ru Лука Сафонов. Bug Bounty должно стать неотъемлемой частью безопасного жизненного цикла любого продукта, считает он.

В 2024 году продолжилось развитие регулирования в области кибербезопасности, которое в том числе затронуло проведение программ Bug Bounty. В апреле в Госдуме началось обсуждение законопроекта, легализующего работу «белых хакеров» в целом и дающего им право искать и обнародовать критически значимые уязвимости в IT-системах. Вместе с тем в Совете федерации работают над законопроектом о «белых хакерах» и предлагают обязать все компании, относящиеся к критической информационной инфраструктуре, проводить такие тестирования. А также закрепить ответственность участников тестирований — операторов платформ и владельцев IT-систем.

Регуляторы также не оставили вниманием сами выплаты специалистам. Минцифры в ноябре сообщало, что рассматривает введение «государственных тарифов» за участие компаний в Bug Bounty, исходя из которых заказчики смогут рассчитаться с «белыми хакерами». Собеседники на рынке кибербезопасности говорили, что обсуждались выплаты по федокругам в 30–50 тыс. руб. за критические уязвимости, для сервисов — до 1 млн руб.

По словам CTO CICADA8 Центра инноваций Future Crew Алексея Кузнецова, выплаты растут за счет того, что растет сам рынок — появляется больше программ, но ресурсов больше не становится. «Когда спрос превышает предложение, стоимость выполнения работ повышается. Рынок будет расти и дальше, учитывая, что он растет быстрее, чем на 50% год к году»,— прогнозирует он.

При этом в России выплаты за выявление уязвимостей в рамках программ Bug Bounty значительно ниже, чем на мировом рынке, даже с учетом возрастания средней суммы вознаграждения, напоминает CEO Passleak Антон Лопаницын. Это является одним из основных недостатков, поскольку «компаниям приходится активно конкурировать за внимание “белых хакеров”». Но конкуренция на рынке ниже, поэтому опытный багхантер может зарабатывать больше, чем на традиционной работе.

На Bug Bounty сложно выйти при отсутствии сформированной ИБ-команды и ИБ-процессов внутри компании в целом, напоминает независимый исследователь кибербезопасности Павел Топорков. Да и мало кто сразу будет готов инвестировать в большой бюджет в программу. Однако со временем бизнес видит пользу, которую приносит Bug Bounty (если все процессы хорошо настроены, то она будет), и готов инвестировать больше, рассказывает он.

Компании начинают осознавать, что инвестиции в киберзащиту — это не только необходимость, но и выгодное вложение, продолжает Антон Лопаницын. Хотя многие организации все еще испытывают страх перед внедрением программы из-за недостаточного понимания механизма работы и возможных юридических аспектов. «Для успешного проведения таких инициатив необходима прозрачность и четкость условий, чтобы защитить и компании, и исследователей как с юридической, так и с этической точки зрения»,— заключает он.

В 2025 году спрос на программы по оценке защищенности будет расти среди компаний, активно работающих с цифровыми технологиями, прогнозирует гендиректор проекта «Кибериспытание» Наталья Воеводина. Наибольшую активность традиционно проявляет крупный бизнес, однако в следующем году значительное увеличение интереса ожидается и со стороны госсектора, учитывая рост атак на критическую инфраструктуру, а также среди малого и среднего бизнеса, который может столкнуться с рисками потери бизнеса в случае комплексной кибератаки, допускает она.

Этот текст — часть нового проекта ИД «Коммерсантъ», посвященного трендам бизнеса и финансового рынка. Еще больше лонгридов с анализом ключевых отраслей российской экономики, экспертных интервью и авторских колонок — на странице Review.

Татьяна Исакова