Основана в 1930 году
КиберпанкДеталиИнтернет

Импортозамещение для хакеров: запуск отечественной платформы для «охоты за багами» намечен на эту весну

Российские разработчики готовят запуск платформы, на которой компании смогут нанимать на работу «белых хакеров».

«Этичные хакеры» ищут способы взломать системы банков и фирм, но не для того, чтобы украсть их деньги, а чтобы указать на наличие пробелов в системе безопасности.

                                        

Как это работает

«Белые хакеры» за вознаграждение ищут «дыры» в системах безопасности. Раньше клиенты находили таких специалистов в основном на международной платформе HackerOne, но в марте она отключила пользователей из РФ.

Что происходит

Российские разработчики из «Киберполигона» и Positive Technologies готовят запуск аналогов HackerOne. 

Почему это важно

Услугами «белых хакеров» пользуются многие крупные российские компании, например «Азбука вкуса» и Ozon.

Что говорят

Эксперты считают, что благодаря созданию отечественной платформы российский «этичный хакинг» будет «стремительно развиваться».

Как это работает

«Белые хакеры» или «этичные хакеры» — это специалисты в области кибербезопасности. Они ищут способы взломать банки и фирмы, но не для того, чтобы украсть их деньги, а чтобы указать им на наличие «дыр» (недоработок) в их системе безопасности.

  • HackerOne — это одна из международных платформ, где компании могут нанять «белых хакеров», которые помогут проверить их компьютерные системы на безопасность и наличие багов. Это позволяет организациям вовремя устранить уязвимости и защититься от злоумышленников.
  • Процесс «охоты за багами» за вознаграждение называется bug bounty. Если какая-либо компания сообщила о готовности заплатить за обнаружение багов, то говорят, что она объявила программу bug bounty.
  • HackerOne популярна во всем мире, среди ее клиентов — Минобороны США, Google, Dropbox, Microsoft. За поиск уязвимостей бизнес готов платить крупные суммы. Например, в 2020 году различные компании через эту платформу выплатили «белым хакерам» в общей сложности $100 млн.

В марте 2022-го HackerOne отключила пользователей из России и Беларуси от своего сервиса. 

  • Российские компании потеряли возможность использовать платформу и начали искать альтернативы.
  • Специалисты по кибербезопасности из России и Беларуси остались без подработки, а также не смогли забрать вознаграждение за уже сделанную работу. Гендиректор HackerOne заявил, что удерживает деньги «этичных хакеров» из стран, попавших под западные санкции, и предложил перенаправить их средства в ЮНИСЕФ (Детский фонд ООН).

Что происходит

Российские разработчики готовят запуск собственных платформ, которые будут похожи на HackerOne, сообщил «Коммерсант» со ссылкой на представителей компаний. 

  • С 1 апреля 2022 года заработает платформа компании «Киберполигон». Разработчики рассчитывают, что им удастся привлечь для сотрудничества до 2,5 тыс. «белых хакеров». Максимальная сумма вознаграждения за найденную уязвимость составит 3 млн рублей, заявил гендиректор компании Лука Сафонов.
  • Также в мае этого года планируется запуск платформы от компании Positive Technologies. Вознаграждение за отдельную найденную ошибку составит от 5 тыс. до 400 тыс. рублей, уточняют в компании. В Positive Technologies сообщили, что уже ведут переговоры с семью потенциальными клиентами платформы.
  • Аналогичный проект ранее анонсировал «Ростелеком». Однако компания пока не ответила на вопросы журналистов «Коммерсанта» о статусе проекта.

Почему это важно

Крупные российские компании ранее участвовали в программах bug bounty, в основном через HackerOne. 

  • Эту платформу в дополнение к своей внутренней программе bug bounty использовала, например, «Азбука вкуса».
  • Клиентами платформы HackerOne были также Ozon, Тинькофф Банк, VK (ранее — Mail.ru Group) и другие.
  • По словам экспертов, вознаграждения за обнаруженные баги от российских компаний составляли в среднем от $1 тыс. до $10 тыс., в зависимости от серьезности выявленной проблемы.

Отключение в России HackerOne затрудняет поиск уязвимостей и снижает уровень защиты пользователей, отмечают эксперты. В то же время хакеры все активнее атакуют компании и их работников. 

  • За последний месяц число кибератак в России выросло более чем в полтора раза, подсчитали в «Лаборатории Касперского».
  • В марте 2022-го злоумышленники похитили данные клиентов «Яндекс.Еды». Их имена, адреса и телефоны оказались в открытом доступе. 
  • Также в марте СМИ сообщали, что кибератаке подвергся Wildberries. Пользователи не могли отследить заказ, войти в приложение или на сайт маркетплейса. В самой компании заявили, что сбой случился из-за технических неполадок.
  • Кроме того, в конце февраля хакеры атаковали сайт «Роскосмоса», также о взломе сообщали российские СМИ, например РБК,  ТАСС, «Известия» и «Коммерсант».  
  • От кибератак пострадали также Boxberry, СДЭК, РЖД и другие российские компании.   

В России растет спрос на экспертов по кибербезопасности. Некоторые работодатели готовы платить им даже за собеседование.

Что говорят

  • Размер вознаграждения для «белых хакеров», анонсированный российскими площадками, соответствует международным, это позволит привлечь профессионалов высокого уровня, считает коммерческий директор компании «Код безопасности» Федор Дбар.
  • «Если правила участия в программах bug bounty будут понятными, система оценки найденных уязвимостей — прозрачной, а выплаты — своевременными, то это направление в России будет стремительно развиваться, отметил эксперт департамента управления рисками «Делойт» в СНГ Кирилл Буреев.
  • Однако ранее эксперты высказали ряд опасений относительно запуска российских аналогов HackerOne. Создание такой платформы в РФ, ориентированной только на отечественный бизнес, бессмысленно, поскольку он не располагает бюджетами на оплату подобных специалистов, полагает ведущий инженер CorpSoft24 Михаил Сергеев. По его мнению, только очень крупные компании могут себе позволить «белых хакеров».
Копировать ссылкуСкопировано