Минцифры разрабатывает возможность ввести понятие bug bounty и «белых хакеров» в правовое поле, пишут «Ведомости».
Если это произойдет, то они смогут получать легальные выплаты, тестируя информационные системы на наличие уязвимостей. Целью этой инициативы является легитимизация рынка, так как пока понятие bug bounty в российском законодательстве никак не определено. Напротив, оно может быть трактовано как «неправомерный доступ к компьютерной информации», то есть подпасть под действие Уголовного кодекса.
«Программа Positive Technologies работает как агрегатор между «исследователями» и бизнесом, — заявил по этому поводу Ярослав Бабин, руководитель проекта The Standoff от Positive Technologies, которая запустила соответствующую программу. — С юридической точки зрения у нас существует «положение о конкурсах», в котором описаны все необходимые условия для проведения программ вознаграждения за реализацию недопустимых событий или уязвимостей в системах клиентов. Это положение регламентирует в том числе и действия исследователей и создано в первую очередь для них».
По его словам, сейчас на платформе уже есть две программы от «Азбуки вкуса» и Positive Technologies, а вскоре появятся еще четыре. До конца года планируется подключить еще 10–20 партнеров. Сейчас на платформе зарегистрировано более 800 исследователей, из которых 37 отправили хотя бы один отчет об уязвимости, уточнил эксперт. По его словам, всего за два с половиной месяца было получено более 60 отчетов от пользователей, но большинство из них «либо дубликаты, либо уязвимости низкой критичности». Пока выплат не было, но вознаграждение уже назначено для трех отчетов, заключил Бабин.
Инструмент, который обсуждает Минцифры, должен стать одним из стандартов оценки реальной защищенности организаций как коммерческих, так и государственных, уверен он. Инициатива Минцифры может дать хороший толчок для появления такого стандарта, добавил эксперт.
Программа поиска уязвимостей за деньги есть и у других проектов — например, у «СКБ Контур». «Первый исследователь, сообщивший о неизвестной ранее валидной уязвимости, может получить награду, — сказано на его сайте. — Мы предлагаем денежное вознаграждение и фирменные подарки. Размер вознаграждения зависит от критичности найденной уязвимости». За обнаружение уязвимости низкого уровня опасности «белый хакер» может получить от 3500 до 7000 руб., а критической — от 70 000 до 105 000 руб. Также аналогичная платформа есть и у Bi.Zone. «Сейчас идет предварительная регистрация клиентов и исследователей, планируем объявить о ней в течение месяца-полутора», — рассказал директор по росту бизнеса компании Рустэм Хайретдинов.
Технический директор АО «Синклит» Лука Сафонов допустил, что легализация bug bounty в правовом поле позволит распространить такие программы и на тестирование государственных систем. Однако в России исследователи боятся работать с государством, так как госпрограмма предусматривает участие объектов критической информационной инфраструктуры, из-за чего «белым» хакерам придется взаимодействовать с ФСБ и ФСТЭК.
В мае TRT на русском писал, что из-за войны в Украине число хакерских атак выросло в три раза. Увеличение числа взломов эксперты «Лаборатории Касперского» связали с конфликтом между Киевом и Москвой. В ходе него кибер-преступники атакуют ту или иную сторону конфликта и действуют не столько ради выгоды, сколько ради общественного резонанса, говорили они.