В августе этого года исполнилось два года с момента запуска программы поиска уязвимостей BI.ZONE Bug Bounty. В 2024-м в России по-прежнему действуют три платформы Bug Bounty (BugBounty.ru, Standoff 365 Bug Bounty от Positive Technologies и BI.ZONE Bug Bounty), на которых присутствуют 29 компаний с публичными программами.
На платформе BI.ZONE Bug Bounty представлены 34 компании (рост в два раза по сравнению с 2023 годом), из них 29 — публичные, и запущены 78 программ по поиску уязвимостей (51 программа в 2023 году).
Общая сумма выплат независимым исследователям за время работы платформы составила более 60 млн рублей. И если в прошлом году было выплачено более 15 млн рублей, то после стоимость уязвимостей значительно выросла и сумма выплат превысила даже прогнозируемый рост, составив 45 млн рублей. Максимальная размер единовременной выплаты — 2,4 млн руб. за найденную уязвимость на одном из сервисов VK. При этом средний размер выплат на платформе BI.ZONE Bug Bounty — около 35 тыс. рублей.
За последний год лидерами российского рынка поиска уязвимостей стали финансовый и государственные секторы: более чем в три раза увеличилось количество компаний из финтеха. Пять банков из рейтинга топ-10 по версии портала «Банки.ру» разместили свои программы на платформе. Благодаря усилиям Минцифры, в шесть раз выросло число программ от госсектора. В частности, первую в стране программу по поиску уязвимостей в инфраструктуре субъекта РФ — Ленинградской области — запустили в рамках мероприятий OFFZONE.
На платформе увеличивается число компаний из ритейла и IT-сектора, что связано с высокой скоростью цифровизации и темпами разработки новых решений в этих отраслях, общим трендом на безопасную разработку, а также оценкой финансовых и репутационных рисков для компаний в случае успешной кибератаки.
Евгений Волошин, директор по стратегии и глава департамента анализа защищённости и противодействия мошенничеству BI.ZONE, отметил, что за прошедший год более чем в полтора раза возросло количество отчётов от независимых исследователей. При этом каждая шестая обнаруженная уязвимость относилась к уровню high и critical. За них заплатили в общей сложности 28 млн рублей.
В рамках конференции было объявлено о запуске сразу трёх публичных программ от Сбера, который ранее работал в приватном режиме. Багхантерам предлагается протестировать три сервиса банка: официальный сайт Сбера, «СберИнвестиции» и «СберБанк Онлайн», сообщил Сергей Крайнов, начальник управления экспертизы киберзащищёности банка. Исследователи смогут искать уязвимости мобильных приложений в версиях для iOS и Android, мессенджере онлайн-банка и Сбер ID — сервисе для входа на сайты и приложения финорганизации. Багхантеры имеют шанс получить вознаграждение до 500 тыс. рублей в зависимости от уровня критичности.
Также к программам Bug Bounty присоединилась «Группа Астра», предоставившая для исследования ОС Astra Linux Special Edition и платформу VMmanager. Это особенно актуально на фоне повышенного интереса к Astra Linux со стороны иностранных государств, отметили собравшиеся на пресс-конференции.
Отвечая на вопросы журналистов, спикеры мероприятия заявили, что:
- вендоры — компании-участники на платформе Bug Bounty — рады широкому участию отечественных и иностранных исследователей уязвимостей и интересу к их продуктам;
- в приватных программах участвует примерно в полтора раза больше вендоров, чем работают в паблике. Такая схема, по опыту руководителей платформы, является для компаний отличной отработкой всех механизмов работы с программами Bug Bounty перед выходом в публичную сферу;
- отечественные багхентеры не боятся конкуренции со стороны иностранных участников, поскольку те часто не понимают специфики отечественных онлайн-сервисов. Плюс, имеется и языковой барьер. С точки зрения комьюнити это отличный обмен опытом;
- платформа BI.ZONE Bug Bounty работает в официальном формате и платежи иностранным участникам через «серые схемы» с использованием криптовалют не рассматриваются. При изменении действующего законодательства платформа будет использовать все возможные способы выплат вознаграждений;
- для многих иностранных исследователей привлекательны не столько призовые суммы, сколько участие в программах и мерч от российских вендоров.
Отвечая на вопрос корреспондента BIS Journal об инициативе Минцифры и регуляторов об изменении законодательства и создании реестра «белых» хакеров, Евгений Волошин подчеркнул, что информация вышла за пределы профессионального ИБ-сообщества, но интересантом решения является государство. В настоящий момент вопрос находится в стадии обсуждения и о подробностях говорить рано.