Хакеров пригласили на «Госуслуги»: Минцифры анонсировало программу по поиску уязвимостей в работе сервиса. В случае их обнаружения специалисты получат вознаграждение. Подобные форматы сотрудничества уже давно используют международные корпорации — этот рынок растет и в России. Какие российские компании добровольно согласились на обследование хакерами? И сколько они готовы заплатить за найденные ошибки? Выяснял Алексей Нарышкин.
Деловое предложение, которое на днях анонсировал министр цифрового развития Максут Шадаев, в профессиональной среде обычно называют Bug Bounty. Программа предусматривает привлечение «белых» или, как их еще называют, этичных хакеров к выявлению пробелов в безопасности IT-систем. Почему же Минцифры предлагает проверить на прочность именно «Госуслуги»?
Очевидно, из-за его популярности — на нем зарегистрированы около 100 млн россиян — и регулярных сбоев, которые могут быть вызваны как кибератаками, так и пиковым спросом, например, на фоне объявленной частичной мобилизации. Сохранность данных — еще одно слабое место портала. Слушатель “Ъ FM” Иннокентий лишился своего аккаунта после того, как отправил заявку на оформление загранпаспорта.
«Когда я пытался восстановить пароль, было написано, что аккаунта с такими номером и почтой не существует. Обратился в техподдержку — ответа специалиста приходилось ждать 40-50 минут. Спустя несколько дней попыток мне сообщили, что есть два варианта: либо я удалил свой аккаунт, либо злоумышленники его украли и удалили. Мне пришлось создать новый. Но, конечно, заявления, которое я подавал на загранпаспорт, в этом аккаунте уже не было. Мне пришлось ходить разбираться в МФЦ, в МВД»,— рассказал Иннокентий.
Отечественный рынок Bug Bounty развивается динамично. Positive Technologies запустила собственную платформу по привлечению хакеров. Среди клиентов сетевые СМИ, ритейлеры, образовательные сервисы, рассказал директор по продукту The Standoff Ярослав Бабин: «По факту мы агрегатор между исследователями — хакерами — и бизнесом.
Мы помогаем составить им некую политику — это описание того, как специалист может с ними взаимодействовать и какие сервисы может ломать, затем размещаем публично на сайте. Например, "ВКонтакте" за самую критичную уязвимость предлагает выплатить 1,8 млн руб., "Азбука вкуса" и Rambler — до 100 тыс. руб.
Хакер просто нажимает кнопку "сдать отчет", если нашел какую-то уязвимость, и отправляет ее напрямую нашему клиенту. И тот уже разбирается, платить за нее или нет».
Сами хакеры к Bug Bounty относятся неоднозначно. Как ни странно, многое зависит от возраста и мотивации исполнителя. Сотрудничество даже с солидными корпорациями может обернуться полным разочарованием, говорит хакер Александр Варской: «Хакеры любят всякого рода соревнования между собой для подтверждения собственной исключительности, гениальности и так далее, потому что хакерство — это про решение задач. Естественно, такие массовые объявления особенно интересны молодым.
Как правило, Bug Bounty выгодна тем, кто ее объявляет, такой своеобразный краудсорсинг, когда огромное количество людей занято решением одной задачи. Не всем обязательно нужно платить. Если люди нашли какую-то дыру, то она может быть и не заявлена. Да, спасибо за информацию, но мы искали у себя другое. И именно из-за этого некоторые более или менее взрослые люди немножко индифферентно отнесутся к данному предложению».
Мировым лидером на этом рынке считается площадка HackerOne. Однако хакерам из России и Белоруссии она с этой весны недоступна. Из-за санкций они не получают обещанные гонорары. Разместить заказы не могут и российские компании. Что касается поиска уязвимостей на «Госуслугах», то программа, по оценкам Минцифры, завершится до конца года. В ведомстве планируют расширять эту практику на другие государственные сервисы.
Новости в вашем ритме — Telegram-канал "Ъ FM".
Все материалы Коммерсантъ www.kommersant.ru