«Белым хакерам» объявлен созыв

26.11.2021 |

Игорь Новиков.

В России могут создать Платформу для привлечения «белых хакеров». По замыслу она станет аналогом международной платформы HackerOne по поиску уязвимостей и поможет российским компаниям и специалистам активно развивать опыт выстраивания действительно надежных программных и аппаратных систем, которые прошли реальную, а не декларативную проверку на устойчивость, как это часто наблюдается до сих пор в российском бизнесе.

Инициатором создания новой платформы выступает российская компания Positive Technologies, специалисты которой, по слухам, активно работали ранее с платформой HackerOne. Очевидно, что ими был накоплен опыт в ее использовании с точки зрения разработчиков. Теперь компания намерена расширить бизнес и создать Платформу, аналогичную HackerOne, но для российского бизнеса. Ранее он фактически был лишен такой сервисной возможности из-за иностранной юрисдикции HackerOne.

Новый сервис предполагает выстраивание отношений между компаниями, которые хотят убедиться в безопасности своих информационных систем, и хакерами, которые намерены получать достойное вознаграждение за проводимую ими проверку.

Необходимость Платформы состоит в том, «белому хакеру» предлагается провести демонстрацию нанесения неприемлемого ущерба информационной системе компании-заказчика. Бизнесу в этом случае предстоит не только признать свои прежние недочеты и исправить их, но и оплатить хакеру достойный доход за проделанную работу. Имеет значение также и этическая сторона бизнеса.

Андрей Арсентьев, руководитель направления аналитики и спецпроектов ГК InfoWatch:

Российские компании здесь опираются на передовой западный опыт. Многие зарубежные ИТ-платформы не первый год сотрудничают с так называемыми "этичными хакерами" ("белыми шляпами"). Как правило, это достаточно прозрачное и открытое взаимодействие, которое регламентируется корпоративными документами. Ряд компаний ежегодно подтверждают свои программы поиска уязвимостей (Bug Bounty) и предлагают поучаствовать в них "этичным хакерам". Например, если участник найдет критическую уязвимость в программных продуктах Apple, он может рассчитывать на вознаграждение в размере $200 тыс. Таким образом энергия талантливых молодых людей, которые могут стать на скользкий путь, направляется в мирное русло. Среди этичных хакеров есть те, кто оставил преступное ремесло ради участия в программах поиска уязвимостей.

Как сообщает «Коммерсант», Positive Technologies планирует запустить свою Платформу в работу в России уже в мае 2022 года. Фактически она будет представлять собой доску объявлений для «белых хакеров» и будет охватывать весь договорный процесс и сопровождение. Здесь же хакеры смогут познакомиться с предложениями от компаний на поиск уязвимостей в их системах с получением определенного дохода - bug bounty.

Positive Technologies намерены не просто скопировать сервис HackerOne, а расширить его и сделать более удобным для бизнеса. В традиционных системах bug bounty заказчик оплачивает только информацию об обнаруженных уязвимостях. Это вынуждает его в дальнейшем нести значительные издержки на верификацию и устранение выявленных проблем. Positive Technologies намерена оптимизировать этот процесс и дать возможность «этичным хакерам» помогать компаниям не только находить, но и устранять уязвимости.

От реализации такой платформы в выигрыше будет и сама российская компания Positive Technologies. Известно, что она попала сейчас под санкции Министерства торговли США, что фактически лишило ее возможности развивать международный бизнес. И хотя Денис Баранов, генеральный директор компании, заявил, что не знает, на каком основании Минторг США включил Positive Technologies в санкционный список, очевидно, что это была реакция США на действия неизвестных хакеров, которые вмешивались во внутренние корпоративные системы США.

Фактическая причастность Positive Technologies к этим хакерским атакам тогда не была доказана, но компании был нанесен серьезный имиджевый удар. Создание российской платформы для «белых хакеров» позволит Positive Technologies восстановить свою репутацию в мире как игрока, который занимается только легальным бизнесом.

Конкурентом Positive Technologies в этом направлении в России считается компания «Ростелеком», которая тоже собиралась разработать аналогичную платформу и предложить ее банковскому сектору. В то же время многие эксперты сомневаются, что у «Ростелеком» имеется достаточный опыт для организации подобного рода бизнеса. Поэтому есть сомнения в успехе этого проекта.

Хотя известно, что в июне этого года компания «Ростелеком-Солар» запустила программу поиска уязвимостей в программных и аппаратных системах в рамках федерального проекта «Информационная безопасность» Национальной программы «Цифровая экономика РФ». Но в то же время о привлечении «белых хакеров» для участия в проектах «Ростелеком-Солар» не сообщалось.

Общей проблемой для развития Платформы называют отсутствие у российских компаний запланированных бюджетов на подобного рода услуги, а также «привычка не реагировать на сообщения о возможных уязвимостях», полагаясь на решения в первую очередь с привлечением правовой машины, а не развитие системы собственной безопасности.

Имеется также проблема с оценкой рисков и ущерба, особенно на фоне огромных выплат зарубежных компаний, которые могут составлять до одного миллиона долларов. Считается, что оценка не является прозрачной для участников, особенно когда требуется увязывать ее с уязвимостями, которые еще не найдены.