МОСКВА, 26 окт - РИА Новости. Отечественный рынок bug bounty (поиск уязвимостей в ПО, приложениях и ИТ инфраструктуре за вознаграждение) динамично формируется, основными драйверами его роста могут стать госсектор и субъекты критической информационной инфраструктуры (КИИ), уверены эксперты в области кибербезопасности - представители компании Positive Technologies и сайта TAdviser.
На пресс-конференции в среду, прошедшей на площадке МИА "Россия сегодня", они представили результаты первого в России масштабного исследования рынка bug bounty. Обзор "Поиск уязвимостей за вознаграждение – реальная обстановка на мировом и российском рынке bug bounty" стал результатом анализа деятельности 27 наиболее крупных и активных мировых и российских платформ bug bounty.
Как отмечается в обзоре, в 2020 году Россия вошла в тройку стран с самым высоким уровнем дохода багхантеров. "Не менее 40 российских компаний запускали открытые программы bug bounty. В стране созданы три основные платформы, где заказчики могут нанять "белого хакера": Bugbounty.ru, Standoff 365 Bug Bounty и BI.ZONE Bug Bounty", - говорится в исследовании.
Российские компании готовы платить багхантерам от нескольких десятков до сотен тысяч рублей за найденную уязвимость, что сопоставимо с выплатами мировых платформ. В отдельных случаях размеры вознаграждения достигают миллиона рублей и более.
Компании, применяющие эту краудсорсинговую технологию, получают целый ряд преимуществ. На платформе Standoff 365, к примеру, исследователи - "белые хакеры" могут не только искать уязвимости в инфраструктурах компаний, но и пытаться реализовать недопустимые события на основе найденных брешей. "В этом случае компания получает подробный отчет об эксплуатации ряда уязвимостей, которые привели к реализации недопустимого события, и может сразу приступить к их исправлению. Исследователю же выплачивается значительно большее вознаграждение, чем за обычный поиск брешей в защите", - отметил директор продукта Standoff 365 Bug Bounty Ярослав Бабин.
За пять месяцев работы платформы Standoff 365 Bug Bounty багхантеры прислали 550 отчетов, найдены и исправлены более 150 уязвимостей, сообщил он.
Драйверами дальнейшего роста рынка bug bounty могут стать госсектор и субъекты критической информационной инфраструктуры (КИИ), считают эксперты. "На развитых рынках госкомпании активно пользуются этими программами. Можно было бы расширяться за счет госкомпаний и субъектов КИИ", - сказала заместитель главного редактора TAdviser Наталья Лаврентьева.
Дополнительным стимулом для рынка, отмечается в исследовании, может стать устранение юридических барьеров, на которое сейчас направлена работа регуляторов — Минцифры и ФСТЭК.
Согласно данным крупнейшей платформы HackerOne, приведенным на пресс-конференции, по итогам 2021 года количество программ bug bounty увеличилось на 34%, выявлено на 21% больше уязвимостей, чем годом ранее. К 2027 году прогнозируется рост этого рынка до 5,5 миллиардов долларов.