Минцифры поручило белым хакерам проверить девять госсервисов
В сообщении на сайте Министерства цифрового развития, связи и массовых коммуникаций РФ (Минцифры) сказано, что специалисты проверят только внешние элементы систем без доступа к внутренним данным: "Все их действия будут контролироваться. Это обеспечит защиту систем при поиске уязвимостей. Для участия в программе белым хакерам (багхантерам) нужно зарегистрироваться на платформах BI.ZONE Bug Bounty или Standoff 365 Bug Bounty. Багбаунти повышает безопасность госсервисов и эффективность их защиты. В первом и втором этапах программы приняли участие свыше 26 тыс. человек".
Проверке на уязвимости подвергнутся единый портал государственных и муниципальных услуг ("Госуслуги"), единая система идентификации и аутентификации (ЕСИА), единая биометрическая система (ЕБС), единая система межведомственного электронного взаимодействия (СМЭВ), национальная система управления данными (НСУД),единая система нормативной справочной информации, головной удостоверяющий центр, федеральный реестр государственных и муниципальных услуг, а также система досудебного обжалования.
В настоящее время в РФ действуют три платформы для проведения программ Bug Bounty (программа, в рамках которой белым хакерам предлагают вознаграждение за обнаружение и сообщение об уязвимостях в продуктах компаний, госорганов или системах): BugBounty.ru, Standoff 365 Bug Bounty от АО "Позитив Текнолоджиз" (Positive Technologies) и Bi.Zone Bug Bounty от ООО "Бизон".
Представитель пресс-службы Минцифры сообщил корреспонденту ComNews, что программа багбаунти привлекает независимых исследователей для поиска уязвимостей в безопасности: "Открытость к таким проверкам повышает доверие пользователей, показывая серьезное отношение к безопасности. Заказчик проекта - ПАО "Ростелеком". Проведение программы позволило повысить эффективность процесса управления уязвимостями в Минцифры. Время жизни уязвимостей сократилось, а затраты на их выявление снизились, уровень защищенности систем вырос. Две платформы позволяют повысить эффективность поиска уязвимостей за счет привлечения более широкого круга исследователей с разным опытом и специализацией. Это снижает вероятность пропуска уязвимостей, поскольку платформы применяют различные методики тестирования и анализа".
Восходящий тренд
Руководитель продукта BI.Zone Bug Bounty Андрей Левкин отметил, что в 2025 г. российский рынок багбаунти продолжает динамично развиваться: "Компании по-прежнему рассматривают подобные платформы как эффективный инструмент анализа защищенности внешнего периметра. Благодаря этому они зачастую готовы выводить на багбаунти-платформы сразу несколько цифровых ресурсов. Мы наблюдаем устойчивую тенденцию к запуску багбаунти-программ субъектами РФ. На нашей платформе представлено 13 подобных программ, и госсектор продолжает лидировать по скорости роста на BI.ZONE Bug Bounty. Это связано с инициативой Минцифры России, которое ввело параметр "Информационная безопасность" в рейтинг цифровой трансформации госорганов. За прошлый год количество государственных организаций на платформе выросло в три раза".
Представитель пресс-службы Positive Technologies поведал, что площадка компании по багбаунти с момента запуска привлекла почти 25 тыс. исследователей кибербезопасности из 60 стран мира: "Общий объем вознаграждений за это время составил более 250 млн руб. На платформе было опубликовано свыше 100 программ по поиску уязвимостей. Плюс опыт прошлых запусков программы с Минцифры был успешным, поэтому мы рады с коллегами повторить опыт".
Ведущий аналитик отдела мониторинга информационной безопасности ООО "Спикател" Алексей Козлов также отметил рост интереса со стороны госсектора: "Если ранее багбаунти были преимущественно инструментом бизнеса, то теперь государственные структуры активно внедряют такие программы. Причем растет спрос не только на багбаунти - из-за заметного усложнения кибератак российские ИТ-компании стали чаще обращаться за ранее нишевыми продуктами по проверке написанного кода на уязвимости, которые могут привести к выводу систем из строя и краже данных. Рост спроса на них в I квартале 2025 г. составил 25% год к году, при этом цена на такие решения выросла на 6%".
Руководитель продуктовой безопасности ООО "РВБ" (Wildberries & Russ) Александр Хамитов отметил, что багбаунти в России развивается очень динамично: "Если в 2020–2023 гг. рынок только формировался, то к 2025 г. мы видим, что случился глобальный скачок в количестве компаний, которые запустили программы, начали получать первые отчеты и извлекать пользу из этого инструмента. В связи с этим вырос и уровень конкуренции за исследователей: компании вынуждены повышать выплаты и предлагать нестандартный скоуп задач для того, чтобы заинтересовать экспертов. Все это приводит к тому, что повышаются как качество программ, так и непосредственно уровень экспертов. К активному и классному профилю специалистов на багбаунти-площадках многие компании относятся как к портфолио, на основе которого у такого кандидата уже будет преимущество перед теми, у кого подобного опыта нет. Среди наших сотрудников уже есть ребята, которых мы наняли как раз из-за того, как они проявили себя на багбаунти-площадках".
Генеральный директор АО "Инфозащита" (Itprotect) Андрей Машуков согласился с тем, что за последние пять-десять лет популярность багбаунти сильно выросла: "Больше участников-тестеров, больше сервисов, которые их привлекают, больше платформ, которые предоставляют двум сторонам возможность взаимодействовать. Главная причина – реальная эффективность метода и возможность для бизнеса платить за результат. Это фактически идеальная конфигурация для проверок на уязвимость".
Бизнес-партнер по инновационному развитию в департаменте продуктового развития группы компаний "Гарда" Лука Сафонов считает, что количество багхантеров уже не растет (практически все, кто хотел присоединиться - уже участвуют). "Что касается холдеров (заказчиков), их рост тоже в какой-то степени замедлился по причине недостаточной зрелости/отсутствия кадров/бюджета", - отметил эксперт.
Руководитель направления информационной безопасности ООО "Системный софт" Артем Мичалин обратил внимание, что программы Bug Bounty в России развиваются, хотя и не так стремительно, как на Западе: "Мы видим уже третий этап реализации инициатив с достойными вознаграждениями — до 1 млн руб. за уязвимость. Это серьезная мотивация как с финансовой точки зрения, так и с точки зрения профессионального роста специалистов. Тем не менее на массовый рынок это пока не вышло, так как многие компании, особенно государственные структуры, с осторожностью относятся к публичному привлечению внешних исследователей. Однако, очевидные преимущества — повышение уровня защищенности и возможность раннего выявления критичных уязвимостей — постепенно формируют доверие к такому подходу".
https://www.comnews.ru/node/234867/edit?destination=/content/234867/2024-08-23/2024-w34/1008/rynok-bug-bounty-rf-kratno-vyros-za-god
Руководитель группы пентеста ООО "Инфосекьюрити" (Infosecurity - ГК Softline) Алексей Гришин считает, что в России может сформироваться новое направление в сфере кибербезопасности – фриланс-анализ защищенности. "Однако для его полноценного развития требуется законодательная база, включающая два ключевых изменения: внесение поправок в статью 272 УК РФ (неправомерный доступ к компьютерной информации) и введение обязательных программ багбаунти для всех сфер бизнеса", - отметил Алексей Гришин.
Проджект-менеджер ООО "МД Аудит" (MD Audit - ГК Softline) Кирилл Левкин высказался по поводу темпов развития направления багбаунти в РФ следующим образом: "С одной стороны, такие государственные инициативы, как программа Минцифры по поиску уязвимостей в инфраструктуре электронного правительства - это важный шаг к легализации и нормализации работы этичных исследователей. С другой стороны, рынок Bug Bounty в России по-прежнему ограничен небольшим числом открытых платформ и проектов. Крупный бизнес предпочитает закрытые тестирования или работает по контрактной модели. Тем не менее интерес к таким программам у компаний и исследователей растет, особенно на фоне общей кибернапряженности и потребности в своевременном выявлении уязвимостей".