Крупные государственные компании все чаще обращаются к услугам «белых хакеров» для тестирования своих IT-систем и повышения уровня кибербезопасности. Одним из примеров стало объявление о тендере от «Почты России» на проведение трехлетней программы Bug Bounty. Целью программы является предотвращение возможных утечек данных и обеспечение более надежной защиты информации.
Эксперты по кибербезопасности считают данную инициативу актуальной, однако подчеркивают необходимость четкого определения регламентов и правил, чтобы избежать возможных разногласий с участниками Bug Bounty.
Дмитрий Ильин, заместитель генерального директора по IT и развитию цифровых сервисов «Почты России», сообщил о планах запустить программу Bug Bounty и провести тендер на выбор соответствующей платформы.
Партнером для реализации программы будет единственный поставщик, который сможет привлечь к участию всех участников рынка информационной безопасности. Основной упор будет сделан на тестирование сайта компании и ее мобильного приложения.
Полученные результаты будут использоваться для дальнейшего совершенствования уровня защищенности и разработки дополнительных мер по обеспечению безопасности. Сумму финансирования, которая пойдет на вознаграждение «белым хакерам», не уточнили. Дмитрий Ильин также отметил, что весной совет директоров «Почты России» утвердил план по обеспечению кибербезопасности на ближайшие годы.
Целью плана является совместная работа с ключевыми игроками рынка для проведения трансформации систем и процессов, отвечающих за информационную безопасность в компании. На запрос издания «Ъ» в Минцифру пока не поступило ответа.
В конце 2022 года информация о нарушении безопасности данных в «Почте России» стала широко обсуждаться в специализированных Telegram-каналах. В результате утечки были скомпрометированы личные данные клиентов, включая ФИО, названия компаний, телефоны, адреса, трек-номера посылок, вес отправлений, статус доставки и другие детали. Несмотря на подтверждение факта утечки со стороны «Почты России», компания отрицала, что злоумышленникам удалось получить доступ ко всей базе данных.
Этот инцидент стал лишь одним из многих случаев атак на российские компании, происходивших с начала 2022 года. Рост киберугроз подтолкнул организации к поиску уязвимостей в своих IT-системах и усилению мер по их защите.
Среди первых государственных органов, которые запустили программы Bug Bounty (вознаграждение за нахождение уязвимостей), было Министерство цифрового развития, связи и массовых коммуникаций. К концу 2023 года министерство расширило программу тестирования не только на портал «Госуслуги», но и на Единую биометрическую систему и другие проекты.
В настоящее время в Государственной Думе обсуждаются два законопроекта, связанных с программами Bug Bounty. Один из них предполагает легализацию привлечения «белых хакеров» к проверке программного обеспечения без предварительного согласия владельцев прав, а другой регулирует порядок организации таких тестирований.
Эксперты отмечают, что основным преимуществом Bug Bounty является возможность проактивно предотвращать угрозы, а не только реагировать на них. Участие в программах наград за нахождение уязвимостей позволяет компаниям привлекать квалифицированных специалистов для усиления своей кибербезопасности.
Директор по консалтингу Positive Technologies Юлия Воронова отмечает, что спрос со стороны профессионалов в области информационной безопасности на возможность участвовать в Bug Bounty программах, таких как у Почты России, будет значительным. Директор по технической деятельности «Гарда WAF» Лука Сафонов соглашается с этим, добавляя, что ключевым фактором успеха программы является адекватное вознаграждение за обнаруженные уязвимости и быстрая верификация результатов исследований.
Опрошенный «Ъ» специалист по кибербезопасности отмечает, что обычно стоимость проведения такого рода исследований составляет от 20 до 30 миллионов рублей за три месяца работы. Однако для крупных компаний, имеющих сложные системы и процессы, осуществление программ Bug Bounty может представлять серьезную сложность.
Директор департамента анализа защищенности и противодействия мошенничеству BI.ZONE Евгений Волошин предупреждает, что перед запуском такой программы необходимо провести тщательный внутренний анализ, определить критичность цифровых активов и сначала протестировать наиболее уязвимые компоненты инфраструктуры.
Кроме того, он подчеркивает важность точно определенных правил программы, чтобы избежать разногласий между белыми хакерами и проверяемой компанией. Регламент должен включать в себя информацию о том, на каких ресурсах какие уязвимости должны быть искать и какие критерии учитываться при проверке.
Благодаря развитию программ Bug Bounty и активному внедрению этой практики в кибербезопасности, компании получают возможность предотвращать атаки заранее, повышать уровень своей защиты и привлекать экспертов для обнаружения и устранения потенциальных угроз.
Все большее внимание к вопросам кибербезопасности и принятие соответствующих мер позволяют компаниям защитить свои данные и информацию, обеспечивая надежную работу своих систем и сервисов во всевозможных условиях угроз и вызовов современного цифрового мира.