В августе этого года исполнилось два года с момента запуска программы поиска уязвимостей BI.ZONE Bug Bounty. В 2024-м в России по-прежнему действуют три платформы Bug Bounty (BugBounty.ru, Standoff 365 Bug Bounty от Positive Technologies и BI.ZONE Bug Bounty), на которых присутствуют 29 компаний с публичными программами.

На платформе BI.ZONE Bug Bounty представлены 34 компании (рост в два раза по сравнению с 2023 годом), из них 29 — публичные, и запущены 78 программ по поиску уязвимостей (51 программа в 2023 году).

Общая сумма выплат независимым исследователям за время работы платформы составила более 60 млн рублей. И если в прошлом году было выплачено более 15 млн рублей, то после стоимость уязвимостей значительно выросла и сумма выплат превысила даже прогнозируемый рост, составив 45 млн рублей. Максимальная размер единовременной выплаты — 2,4 млн руб. за найденную уязвимость на одном из сервисов VK. При этом средний размер выплат на платформе BI.ZONE Bug Bounty — около 35 тыс. рублей.

За последний год лидерами российского рынка поиска уязвимостей стали финансовый и государственные секторы: более чем в три раза увеличилось количество компаний из финтеха. Пять банков из рейтинга топ-10 по версии портала «Банки.ру» разместили свои программы на платформе. Благодаря усилиям Минцифры, в шесть раз выросло число программ от госсектора. В частности, первую в стране программу по поиску уязвимостей в инфраструктуре субъекта РФ — Ленинградской области — запустили в рамках мероприятий OFFZONE.

На платформе увеличивается число компаний из ритейла и IT-сектора, что связано с высокой скоростью цифровизации и темпами разработки новых решений в этих отраслях, общим трендом на безопасную разработку, а также оценкой финансовых и репутационных рисков для компаний в случае успешной кибератаки.

Евгений Волошин, директор по стратегии и глава департамента анализа защищённости и противодействия мошенничеству BI.ZONE, отметил, что за прошедший год более чем в полтора раза возросло количество отчётов от независимых исследователей. При этом каждая шестая обнаруженная уязвимость относилась к уровню high и critical. За них заплатили в общей сложности 28 млн рублей.

В рамках конференции было объявлено о запуске сразу трёх публичных программ от Сбера, который ранее работал в приватном режиме. Багхантерам предлагается протестировать три сервиса банка: официальный сайт Сбера, «СберИнвестиции» и «СберБанк Онлайн», сообщил Сергей Крайнов, начальник управления экспертизы киберзащищёности банка. Исследователи смогут искать уязвимости мобильных приложений в версиях для iOS и Android, мессенджере онлайн-банка и Сбер ID — сервисе для входа на сайты и приложения финорганизации. Багхантеры имеют шанс получить вознаграждение до 500 тыс. рублей в зависимости от уровня критичности.

Также к программам Bug Bounty присоединилась «Группа Астра», предоставившая для исследования ОС Astra Linux Special Edition и платформу VMmanager. Это особенно актуально на фоне повышенного интереса к Astra Linux со стороны иностранных государств, отметили собравшиеся на пресс-конференции.

Отвечая на вопросы журналистов, спикеры мероприятия заявили, что:

  • вендоры — компании-участники на платформе Bug Bounty — рады широкому участию отечественных и иностранных исследователей уязвимостей и интересу к их продуктам;
  • в приватных программах участвует примерно в полтора раза больше вендоров, чем работают в паблике. Такая схема, по опыту руководителей платформы, является для компаний отличной отработкой всех механизмов работы с программами Bug Bounty перед выходом в публичную сферу;
  • отечественные багхентеры не боятся конкуренции со стороны иностранных участников, поскольку те часто не понимают специфики отечественных онлайн-сервисов. Плюс, имеется и языковой барьер. С точки зрения комьюнити это отличный обмен опытом;
  • платформа BI.ZONE Bug Bounty работает в официальном формате и платежи иностранным участникам через «серые схемы» с использованием криптовалют не рассматриваются. При изменении действующего законодательства платформа будет использовать все возможные способы выплат вознаграждений;
  • для многих иностранных исследователей привлекательны не столько призовые суммы, сколько участие в программах и мерч от российских вендоров.

Отвечая на вопрос корреспондента BIS Journal об инициативе Минцифры и регуляторов об изменении законодательства и создании реестра «белых» хакеров, Евгений Волошин подчеркнул, что информация вышла за пределы профессионального ИБ-сообщества, но интересантом решения является государство. В настоящий момент вопрос находится в стадии обсуждения и о подробностях говорить рано.

23 августа, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.12.2024
Аналитический Центр «БизнесДром» выступит партнёром XIX премии «Финансовая элита России»
03.12.2024
РСХБ рассказал, на что его клиенты тратят цифровые рубли
03.12.2024
«Яблочники» идут за вашими слепками
03.12.2024
«Также возможно введение квот на импортные печатные платы…»
03.12.2024
Хакеры готовы подарить свой авторский рецепт активации Windows
02.12.2024
Антимонопольщики не против. В России появится ещё один ИБ-вендор
02.12.2024
«Рынок не сделает ничего». Касперская — о госучастии в ИИ-направлении
02.12.2024
Телефонные мошенники напоминают: инвестируйте в себя
02.12.2024
Эксперты ЛК не рекомендуют сразу удалять выявленный сталкерский софт
02.12.2024
Первой голове «Гидры» дали пожизненное

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных