В компании Positive Technologies пояснили, что рынок Bug Bounty только начинает свое становление в стране
МОСКВА, 26 октября. /ТАСС/. Рынок поиска уязвимостей в информационной безопасности российских компаний за вознаграждение (Bug Bounty) может составить 500 млн рублей в ближайшие три года. Об этом сообщили ТАСС в пресс-службе Positive Technologies.
"Рынок традиционного поиска уязвимостей в России в среднесрочной перспективе (порядка трех лет) по нашим оценкам может составить 0,5 млрд рублей", - сообщили в пресс-службе.
В компании пояснили, что рынок Bug Bounty только начинает свое становление в России.
"В сторону Bug Bounty начинают смотреть не только разработчики многопользовательских приложений (банки, e-commerce, ИТ-компании), но и организации с критической инфраструктурой. Таким организациям важно построить процессы, при которых недопустимые для бизнеса события не могут произойти; они готовы платить за работу исследователя, который покажет всю последовательность возможных действий злоумышленника", - пояснили в компании.
Вознаграждение за такую работу может в разы или даже на порядки превышать вознаграждение за уязвимость, поэтому рынок Bug Bounty в России ждет взрывной рост.
Bug Bounty в России
Также эксперты Positive Technologies проанализировала наиболее крупные и активные Bug Bounty платформы в России. По данным компании, в 2020 году Россия вошла в тройку стран с самым высоким уровнем дохода багхантеров - людей, которые за вознаграждение ищут уязвимости, по этому показателю РФ обгоняет Китай и Германию. Сегодня в России действуют три основные платформы - The Standoff 365, bugbounty.ru и BI:Zone. При этом более 50% программ Bug Bounty в России пока закрытые, то есть с ограниченным заранее оговоренным количеством исследователей.
"Российские компании готовы платить багхантерам от нескольких десятков до сотен тысяч рублей за найденную уязвимость. В отдельных случаях выплаты достигают 1 млн рублей и более. Например, средняя выплата за критическую уязвимость на платформе Standoff 365 составляет 420 тыс. рублей, что сопоставимо с выплатами по миру", - пояснили в компании.
Как правило, наибольшие средние суммы вознаграждений для уязвимостей критического и высокого уровня риска оказались в Bug Bounty программах блокчейн-проектов ($13,1 тыс. и $5,3 тыс. долларов соответственно) и IT-компаний ($6,6 тыс. и $2,2 тыс. долларов соответственно), уточнили в компании.
