VK выплатила «белым» хакерам почти 240 миллионов рублей

За 10 лет существования программы Bug Bounty компания выплатила багхантерам 236 млн рублей, сообщили в пресс-службе VK.

Компания одной из первых в стране запустила собственную программу Bug Bounty на платформе HackerOne еще весной 2014 года. Первым проектом, в котором специалистам было предложено найти уязвимость, стала Почта Mail.ru, позже добавились и социальные сети – ВКонтакте и «Одноклассники». В период сотрудничества с HackerOne компания получила более 16 тысяч отчетов, а общий размер выплат достиг 185 миллионов рублей.

В 2022 году VK разместила программу Bug Bounty на платформах Standoff365 и BI.ZONE Bug Bounty, в начале 2023 года – на BugBounty.ru. Так, VK стала первой в России компанией, представленной на всех отечественных площадках BugBounty. С 2022 года компания проанализировала более 2,5 тысяч отчетов и выплатила «белым» хакерам более 52 миллионов рублей.

«VK с 2014 года развивает сообщество багхантеров, которое помогает нам дополнительно тестировать безопасность наших продуктов. В этом году мы переосмыслили общепринятый в индустрии подход к выплатам: мы отказываемся от фиксированных максимальных сумм и внедряем механизм Bounty Pass, при котором применяется прогрессивная шкала вознаграждений с учетом персональных достижений багхантера. По случаю 10-летия VK Bug Bounty бюджет программы в 2024 году превысит 200 миллионов рублей», – рассказал вице-президент, директор по информационной безопасности VK Антон Карпов.

Привлечение внешних специалистов к тестированию собственных ИТ-систем постепенно становится нормой для крупных российских ИТ-компаний, отметил член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. «Например, Яндекс в 2023 году заплатил «белым» хакерам 70 млн рублей. Активно развивает программу по поиску уязвимостей и Минцифры России. Напомню, что в программе, которая продлится до осени этого года, специалистам предложено «проверить» ключевые информационные системы государства», – рассказал депутат.

По словам Немкина, Россия за последние два года столкнулась с беспрецедентным количеством кибератак. «Практически ежеквартально эксперты рынка информбезопасности фиксируют рост числа DDoS-атак. Это требует как от государства, так и от бизнеса пересмотра методов обеспечения информационной безопасности. Информационная архитектура должна не только отражать, но и превентивно находить потенциальные уязвимости. В том числе, за счет привлечения внешних специалистов. Думаю, что сейчас ИТ-сектор движется в верном направлении. Bug bounty в сочетании с традиционными методами может кратно повысить эффективность информбезопасности компаний», – считает депутат.

Немкин также напомнил, что ранее были подготовлены законопроекты, призванные легализовать деятельность «белых» хакеров. «Пока что правовое поле России работает не на «белых» хакеров, а против них. Специалисты могут столкнуться в том числе и с нарушением норм уголовного права. Задача, которую мы ставим перед собой – не только упростить правовое положение специалистов, но и сформировать регуляторную рамку, направленную на устойчивое развитие направления. В Госдуму уже были внесены поправки в статью Гражданского кодекса РФ, в ближайшее время также будет внесен законопроект, который предлагает внесение поправок в статью 16 149-ФЗ «Об информации» - они определят правовые основания привлечения к работе «белых» хакеров», – отметил депутат.

]]>