Министерство цифрового развития, связи и массовых коммуникаций РФ планирует до конца 2023 г. запустить программу поиска уязвимостей за вознаграждение bug bounty для 20 информационных систем (ИС).
Данная практика доказала свою эффективность еще в начале 2023 г., когда bug bounty опробовали на портале «Госуслуги». В программе участвовали более 8,4 тысяч белых хакеров от 17 до 55 лет. Максимальная выплата за один баг равнялась 350 тыс. руб., минимальная — 10 тыс. руб. В целом за найденные уязвимости специалисты получили около 2 млн руб.
Всего хакеры обнаружили 34 бага, в основном среднего и низкого уровня критичности. Причем у участников не было доступа к внутренним данным ЕПГУ, и работали они только на внешнем периметре.
Технический директор компании по разработке систем сетевой и информационной безопасности Weblock Лука Сафонов рассказал, что на данный момент сумма вознаграждения за нахождение уязвимостей в РФ колеблется от 30 тыс. руб. до 70 тыс. руб., максимальная — около 4 млн руб., минимальная — в районе 5000 руб. При этом размер выплаты может зависеть от интереса заказчика к тому или иному пласту уязвимости, а также от ее критичности, как сообщила руководитель департамента сервисных услуг Innostage Екатерина Сюртукова.
Специалисты поделились и рассуждениями о том, почему bug bounty стремительно набирает популярность. Технический директор iTPROTECT Максим Головлев считает, что программа актуальна для многих компаний из-за возможности свежего взгляда на проблемы со стороны, а также существенной экономии средств. Ведь в большинстве случаев оплата осуществляется только за реальные достижения в рамках анализа. В то же время архитектор информационной безопасности R-Vision Дмитрий Мельник причиной популярности bug bounty называет тот факт, что убытки от невыявленных багов для бизнеса стали намного превышать стоимость аудита ИБ.
Общий мировой рынок bug bounty в 2022 г. составил $1,1 млрд и, по оценке экспертов, вырастет до $2,7 млрд к 2028 г. Это говорит о том, что компании считают данную практику полезной и эффективной.