Разделы

Безопасность Бизнес Кадры Техника

Россияне начали вербовать «белых хакеров» за границей

Программа Bug Bounty компании Positive Technologies вышла на международные рынки. «Белые хакеры» из Азии, Африки, Ближнего и Среднего Востока уже принимают участие в российской программе поиска уязвимостей.

Positive Technologies вербует «белых хакеров» со всего мира

Positive Technologies, начиная с декабря 2023 г. распространяет свою программу по поиску уязвимостей на международные рынки, и начинает привлекать «белых хакеров» из-за рубежа. Об этом заявил руководитель направления Bug Bounty Standoff 365 в Positive Technologies Анатолий Иванов.

Причиной этого шага может быть кадровый дефицит на российском рынке информационной безопасности.

Директор по обслуживанию клиентов и партнеров Positive Technologies Юлия Данчина говорит о нехватке ИБ-специалистов на российском рынке: «По нашим оценкам в России требуется от 7 тыс. до 100 тыс. ИБ-специалистов», - заявила она. По данным компании, потребность российского рынка в ИБ-специалистах требует усиления притока кадров как минимум в два раза.

Белые хакеры на программе Bug Bounty

«В два-три раза нужно увеличить количество коммерческих образовательных компаний, чтобы полностью удовлетворить потребность бизнеса в обучении его сотрудников в области кибербезопасности», - подытожила Юлия Данчина.

Оценка бюджета международной программы Bug Bounty

В компании не стали приводить CNews бюджет своей программы Bug Bounty, но дали рекомендацию, сколько средств стоит выделить для плодотворной деятельности в этом направлении. «Мы рекомендуем закладывать бюджет от 1,5 до 2,5 млн руб. в год на одну программу», - сказал Анатолий Иванов. Он добавил, что цену можно корректировать, как вниз, так и вверх. По опыту Positive Technologies, при подобном бюджете исследователи приносят достаточное количество багов.

Представители компании в качестве примера привели HackerOne, известную компанию, занятую поисками уязвимостей с помощью привлеченных «белых хакеров». В своей программе Bug Bounty HackerOne выплачивает до $20 тыс. в зависимости от компании-участника.

Как избежать оборотных штрафов из-за утечки данных?
Безопасность

По словам Анатолия Иванова, компания оплачивает иностранцам вознаграждение через посредников. «В части выплат мы сотрудничаем с платежным агентом, который осуществляет оплату в соответствии с законодательством той страны, в которой исследователь получает вознаграждение», - высказался Анатолий Иванов. Он дополнил, что процедура работает пока в тестовом режиме и компания отлаживает процесс, но уже начали привлекать другие компании на площадку.

Сейчас на площадке присутствуют хакеры из стран Азии, Африки, Ближнего и Среднего Востока. «Если говорить конкретнее, то это Индия, Иран, Непал, Марокко и ОАЭ», - уточнил собеседник из Positive Technologies.

Работа «белых хакеров» Positive Technologies в России

С момента открытия платформы в России было принято 1479 отчетов багхантеров, из них 152 по критически опасным уязвимостям, а 287 – по уязвимостям с высокой степенью опасности. На момент выхода материала, в программе участвует 7,8 тыс. исследователей, а общая сумма выплат составила 54 млн руб. на декабрь 2023 г. По данным компании, максимально выплаченным вознаграждением стала сумма в 2,4 млн руб.

За полтора года работы программы с мая 2022 г. количество размещенных программ увеличилось с 2 до 53 и продолжает расти, а размер вознаграждения составляет от 9 тыс. руб. до 3 млн руб. в зависимости от уровня опасности уязвимости. По словам Анатолия Иванова, максимальные выплаты сопоставимы с аналогичными вознаграждениями на мировых площадках. «ИТ-компании и организации из финансовой сферы выплатили хакерам больше, чем компании из других отраслей, представленных на платформе», - заявил Анатолий Иванов.

Дмитрий Федонин