Российские разработчики готовятся к запуску проектов, аналогичных платформе HackerOne. Платформа предназначена для объединения так называемых «белых хакеров», которые ищут уязвимости в софте и сайтах компаний, получая вознаграждение за каждый найденный баг.
Потребность в создании аналогов возникла после того, как кураторы платформы сообщили о приостановке выплат российским и белорусскими хакерам за уже найденные уязвимости по причине того, что они находятся в «зоне санкций». «Первой ласточкой» стал белорусский хакер, не получивший вознаграждение в $25тыс. по программе Bug Bounty (дословно – «вознаграждение за ошибки»). Гипотетически, российские и белорусские хакеры могут продолжать участвовать на сайте, регистрируя новые аккаунты на лиц, имеющих гражданство других стран, не подпадающих под санкции, но это добавляет определенные неудобства.
О создании аналогичных платформ в России говорилось уже давно, «Ростелеком» сообщал о планах на запуск аналога ещё в сентябре 2021 года. Также в ноябре сообщалось о запуске подобной платформы компанией Positive Technologies, упоминая, что запуск должен состояться в 2022 году.
Сейчас представители Positive Technologies сообщили о том, что их платформа должна запуститься уже в мае текущего года. На месяц раньше обещали открыть свою платформу в компании «Киберполигон» - они планируют запустить публичные программы Bug Bounty уже через пару дней – с 1.04. «Ростелеком» пока не предоставляет комментариев о стадиях продвижения своего проекта.
В «Киберполигоне» надеются уже в первые месяц-два запустить в рамках своей платформы более десятка публичных программ Bug Bounty, и столько же приватных, а также привлечь для решения данных задач до 2,5 тыс. «белых хакеров». При этом планируемые суммы вознаграждений весьма привлекательны – так, максимальная выплата за обнаружение критичных уязвимостей составит 3 млн руб. В то же время, многие компании не готовы участвовать в публичных программах, так как выявление уязвимостей может оказывать влияние на их репутацию. Таким организациям проще участвовать в приватных программах.
Positive Technologies обещает за каждую найденную ошибку выплаты от 5 тыс руб. до 400 тыс., на порядок увеличивая выплаты в случаях, когда может быть осуществлена реализация недопустимых событий и инцидентов. Компания ведет переговоры с рядом компаний, которые могут стать заказчиками такого рода услуг. Сообщается, что хотя на данный момент спрос есть у одного-двух десятков компаний, уже к следующему году таких может стать в разы больше, до полусотни. В ближайшее время, по мнению представителей компании, поиском уязвимостей в первую очередь будут заинтересованы банки, e-commerce и ИТ-компании.
Представители крупного российского бизнеса уже принимали участие в программах по отлову багов, преимущественно с помощь. HackerOne. Но после приостановки выплат платформой российским исследователям безопасности, включая компании, например, «Лаборатории Касперского», отечественный бизнес начал задумываться об альтернативных вариантах.
Несколько компаний имеют собственные внутренние программы Bug Bounty – к таким относятся «Азбука вкуса», «Яндекс», Wildberries, однако некоторые из них также готовы пользоваться и сторонними ресурсами, чтобы повысить уровень безопасности.
Мнения экспертов разделились. Одни сомневаются, что российские аналоги смогут составить серьезную конкуренцию известным международным платформам, поскольку в России не так много компаний, способных выплачивать вознаграждения мирового уровня – так, в 2021 году максимальная выплата за поиск уязвимостей от сайта Ozon составила $3 тыс. И, хотя некоторые вознаграждения от российских компаний достигали $10 тыс. долларов, они размещались на той же международной платформе HackerOne, с которой сейчас прекращено сотрудничество.
Другие, напротив, уверены, что поскольку суммы вознаграждений достаточно велики даже для международного рынка, профессиональные специалисты должны заинтересоваться такими предложениями, в частности, на фоне возникающих конфликтов на международных платформах.
Тем не менее, считают третьи, отечественные платформы навряд ли сразу смогут набрать популярность, сравнимую с западными коллегами – наработка успешных кейсов, чтобы повысить лояльность клиентов, потребует время, возможно, несколько лет.