Почему это важно

В 2023 году число кибератак на российские информационные системы выросло на 65% по сравнению с предыдущим годом. Наиболее опасные инциденты связаны, как правило, с атаками международных хакерcких группировок. Они обнаруживают уязвимости в IT-системах и цифровых сервисах, прибегая к новейшим технологиям киберразведки. Их тактика постоянно меняется, а инструменты совершенствуются.

Чтобы противостоять таким угрозам, нужно привлекать специалистов сопоставимого уровня — этичных хакеров, которые могут составить конкуренцию киберпреступникам. Они используют схожую логику и новейшие инструменты при исследовании систем организации и могут первыми обнаружить уязвимость, которая могла бы привести к неблагоприятным последствиям в будущем.

Есть две модели работы с «белыми» хакерами — пентесты и программы баг-баунти (Вug Вounty, программы по поиску уязвимостей). Пентесты — проникновение в IT-инфраструктуру для действий по заранее оговоренным сценариям, имитирующим поведение злоумышленников. Такие проверки проводят специализированные компании или привлеченные специалисты, и этот процесс конфиденциальный.

А в программах баг-баунти участвует широкий круг независимых исследователей безопасности, готовых сообщать компании о найденных уязвимостях, получая за это заранее анонсированное вознаграждение. О таких программах объявляют открыто. Для проведения баг-баунти есть специальные платформы, в России их три: bugbounty.ru, а также платформы компаний Positive Technologies и BI.ZONE.

Сегодня программы баг-баунти проводят «Яндекс», Ozon, VK, «Тинькофф» и другие крупные компании. В прошлом году к движению за этичный хакинг присоединились государственные ведомства. На первом этапе программы, инициированной Минцифры, участники проверяли на прочность «Госуслуги» и Единую систему идентификации и аутентификации. В итоге удалось найти 37 уязвимостей, бюджет программы составил почти 2 млн рублей. В ноябре прошлого года стартовал второй этап — в тестировании участвуют уже девять государственных сервисов и систем.

Есть прецеденты и в регионах: Московская и Ленинградская области в декабре 2023 года первыми запустили программы по поиску уязвимостей в своих инфраструктурах.

Баг-баунти в цифрах

Даже для компаний, специализирующихся на кибербезопасности, подготовка IT-инфраструктуры для публикации на платформе баг-баунти — ресурсозатратный и растянутый во времени процесс, занимающий несколько месяцев. Между тем программы баг-баунти — распространенная за рубежом форма проверки и повышения устойчивости информационных систем. Объем мирового рынка специализированных платформ в 2023 году составил $1,19 млрд и, по прогнозам, будет расти средними темпами (CAGR) на 16,3% ежегодно до 2032 года.

Российский рынок баг-баунти находится в стадии становления и еще очень мал — его объем в 2023 году не превысил 200 млн рублей (около $2 млн). В то время, как потери 300 российских крупных компаний в прошлом году оценивались в среднем в 20 млн рублей в год.

Развитие рынка услуг этичного хакинга сегодня сдерживают высокая, по мнению бизнеса, стоимость программ, ресурсозатратная процедура подготовки, а также ограничения действующего законодательства. Вместе с тем рост ущерба от кибератак постепенно заставляет бизнес и госструктуры выделять бюджеты на превентивные меры защиты и набираться опыта в запуске подобных проектов. Чтобы привлечь к повышению киберустойчивости бизнеса «белых» хакеров, необходимо популяризовать баг-баунти и снизить риски участия в и пентестах, а это возможно только при изменении законодательства.

«Бреши» в законе

Сегодня деятельность «белых» хакеров не запрещена, но и никак не регламентирована. К ним применяют те же правовые нормы, что и для киберпреступников. Из-за этого возникают проблемы.

В действующем законодательстве нет определения для специалистов по кибербезопасности, которые по заказу организации тестируют защищенность ее инфраструктуры, ПО и систем для выявления уязвимостей. Соответственно, не закреплены в правовом поле такие формы тестирования, как пентест и баг-баунти, не описаны их процедуры и инструменты. Правовая оценка деятельности «белых» хакеров неоднозначна, а риски высоки, вплоть до лишения свободы.

Источник: Forbes