В 2024 году белые хакеры обнаружили более 6000 уязвимостей в российских компаниях и государственных учреждениях. Чуть меньше трети из них нашли через платформу Standoff Bug Bounty, созданную Positive Technologies, а остальные через другие багбаунти-платформы, такие как BI.Zone Bug Bounty.
Standoff Bug Bounty, официально признанная в России в конце 2024 года, стала популярным инструментом для выявления уязвимостей. За год на платформе зарегистрировались более 16 тысяч специалистов по кибербезопасности, а компании запустили более 80 программ по поиску уязвимостей. В общей сложности хакеры подали около 8000 отчетов, из которых значительная часть содержала критически опасные проблемы. Компании выплатили вознаграждения на сумму свыше 148 миллионов рублей.
Программа Bug Bounty — это способ, с помощью которого компании приглашают людей искать ошибки и уязвимости в их системах. За найденные проблемы участники получают награды и признание. Это помогает разработчикам исправить ошибки заранее, чтобы избежать возможных атак или проблем в будущем.
Рост числа обнаруженных уязвимостей в России за год составил почти 300%, и значительная часть проблем угрожала информационной безопасности на критическом уровне. Это подчеркивает необходимость применения современных методов, таких как багбаунти-программы, для повышения защиты ИТ-инфраструктуры.
В связи с этим в стране начали обсуждать законодательные инициативы, которые могут сделать такие программы обязательными для организаций, работающих с критической информационной инфраструктурой.
В марте комитет Госдумы по госстроительству рекомендовал принять в первом чтении законопроект, который был направлен на легализацию деятельности «белых» хакеров в России. Согласно этому законопроекту, «белые» хакеры должны сообщать правообладателю о найденных уязвимостях в течение пяти рабочих дней после их обнаружения, если только не удалось установить местонахождение, адрес проживания или контактные данные правообладателя.