В России хотят запустить платформу по поиску уязвимостей. Получатся ли из этого «хакеры во благо»?
Как сообщает корреспондент ДОФы, в России может появиться аналог платформы HackerOne, о чем стало известно СМИ.
Предполагается, что она будет выступать как посредник между компаниями, которые решили проверить свои системы на безопасность, и специалистами-хакерами. Причем последние получат за свою работу вознаграждение. Вполне себе рыночные взаимоотношения получаются?
О планах Positive Technologies «Коммерсанту» рассказал представитель компании. По его словам, она намеревается весной предстоящего года запустить платформу, которая станет агрегатором программ для «этичных хакеров» по поиску уязвимостей — bug bounty.
В рамках таких программ исполнители (то есть хакеры) получают от компаний вознаграждение за обнаруженные в системах и приложениях уязвимости, которые могут сыграть «плохую шутку» с компанией.
Руководитель отдела анализа защищенности приложений Positive Technologies Ярослав Бабин, чьи слова приводит издание, рассказал, что платформа будет своего рода посредником между «этичными хакерами» и организациями. Он пояснил, что на текущий момент в России такой системы нет, отдельные bug bounty от отечественных предприятий размещаются на международной HackerOne.
Директор центра компетенции Positive Technologies Андрей Бершадский добавил, что в традиционной программе bug bounty компания дает вознаграждение в целом за найденные уязвимости и получает огромный поток, «приходится тратить много ресурсов на верификацию». А новый формат предполагает такую систему: планируется сформировать реестр недопустимых событий и выплачивать средства за цепочку атак, которая однозначно приведет к неприемлемому ущербу. Использовать, видимо, хотят и тот, и другой форматы.
По-видимому, в этой услуге заинтересованы многие компании: о планах создания отечественного аналога HackerOne уже сообщал и «Ростелеком».
В ВТБ оценили идею создания платформы для «белых хакеров». Создание такого сервиса они считают целесообразным.
Как отмечает издание, сейчас программы bug bounty активнее всего используют большие иностранные IT-корпорации. Например — известные всем компании Microsoft и Google.
Некоторые эксперты сомневаются в перспективах отечественных проектов, отмечает «Коммерсант». Ведущий инженер CorpSoft24 Михаил Сергеев предполагает, что создание такой платформы в России, если она будет ориентирована лишь на российский бизнес, бессмысленно, так как многие российские компании не располагают бюджетами на оплату таких спецов. Скорее всего, позволить себе такое «удовольствие» смогут только большие компании.
Картина прояснится после запуска сервиса. Спрос покажет, многие ли компании могут себе позволить воспользоваться услугами «белых хакеров».
Преступления в сфере технологий не редкость для России. Например, этой осенью правоохранительными органами была пресечена серия преступлений в области компьютерной безопасности.
«Сотрудниками… совместно с коллегами из Москвы, Свердловской и Оренбургской областей пресечена деятельность межрегиональной группы, участники которой создавали и распространяли вредоносные компьютерные программы. Установлено, что злоумышленники на специализированных ресурсах в сети Интернет, в том числе в теневом сегменте, осуществляли распространение вредоносного программного обеспечения, предназначенного для модернизации персонажей многопользовательских компьютерных игр», — рассказывали в МВД России. Было возбуждено уголовное дело.
В России задумались о «белых хакерах»?