Государевы хакеры

Как совместить Bug Bounty и критически важные государственные ресурсы

Непрерывные кибератаки, обрушившиеся в 2022 году на отечественные информационные системы, эксперты называют «первым в истории круглогодичным Red Teaming» (комплексной имитацией реальных атак для оценки киберзащиты). В качестве защиты IT-инфраструктуры они предлагают такой инструмент, как Bug Bounty – тестирование ПО на уязвимости привлеченными специалистами за вознаграждение. Об эффективности этого подхода, разнице его использования в бизнесе и госсекторе и о том, почему «взломай Пентагон» теперь нужен и в России, – в материале RSpectr.

ОСОБЫЕ УСЛОВИЯ

Традиционно основным заказчиком программ Bug Bounty в России был крупный бизнес: IT-разработчики, онлайн-сервисы, банки, ритейл и электронная коммерция. Пользоваться услугами этичных хакеров сейчас начинает и госсектор, но пока «очень ограниченно», отмечается в исследовании Positive Technologies и TAdviser.

Тем не менее определенные шаги в этом направлении делаются, и в конце октября стало известно, что Минцифры России согласовывает концепцию программы Bug Bounty для государственных информационных систем. Для поиска уязвимостей на госуслугах министерство уже привлекло компании Positive Technologies и «Киберполигон».

О распространении этой практики на госресурсы стало известно в мае, когда директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин в рамках форума Positive Hack Days 11 анонсировал первую госпрограмму Bug Bounty.

Тогда же был опубликован указ президента №250 «О дополнительных мерах по обеспечению информационной безопасности РФ», а затем вышел ряд обновлений нормативной базы в сфере ИБ, которые прямо относятся к теме Bug Bounty, отметил в беседе с RSpectr технический директор компании «Синклит» Лука Сафонов.

Но нужно учитывать ряд ограничений для использования этого инструмента на госпредприятиях, подчеркнул он.

Лука Сафонов, «Синклит»:

– Если вы планируете деятельность на объектах КИИ, то вам может понадобиться доступ к гостайне. Полным набором подобных разрешений обладает не так много компаний. Также нужна соответствующая экспертиза, релевантный опыт, существование на рынке достаточное время – на все это смотрят.

Как пояснил RSpectr бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий, в отличие от бизнеса отечественный госсектор исторически был более закрыт в вопросах кибербезопасности.

Алексей Лукацкий, Positive Technologies:

– Поэтому ему еще непривычно открывать свои системы и приложения для желающих проверить их на прочность. Кроме того, сейчас такие программы не заработали, и пока сложно говорить об условиях участия в них. Возможно, они будут точно такими же, что и для бизнеса, включая и нераспространение информации о найденных уязвимостях.

Он подчеркнул, что

главное – чтобы участвующим в Bug Bounty хакерам не нужно было подтверждать квалификацию своих дипломов о высшем профильном образовании и не требовалась лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации

Тем не менее обладание этой лицензией ФСТЭК относится к минимальным требованиям для работы с госсектором, уверен Лука Сафонов.

В государственных организациях больше ограничений и критериев для отбора, подтвердил начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд. Как правило, у частных компаний нет жестких рамок – белый, или этичный, хакер c любого конца света может принять участие в поиске уязвимостей и заработать, рассказал он RSpectr.

САМАЯ БОЛЬШАЯ ТРУДНОСТЬ

При организации работе с госорганизациями и объектами КИИ у багхантеров может возникнуть ряд трудностей, самая большая из которых – это легализация и верификация.

Алексей Дрозд, «СёрчИнформ»:

– В запланированной программе Bug Bounty от Минцифры могут участвовать только граждане РФ, которые должны быть зарегистрированы в Единой системе идентификации и аутентификации. Также могут быть ограничения территориальные (нахождение в РФ или даже в определенном здании) или технические (проверка с определенного компьютера, на котором стоит DLP-система для контроля действий багхантера).

Но на это пойдут не все. Известно, что хакеры – это, как правило, личности параноидального склада. Многие из них уверены, что все, связанное с государством, – это очень токсично, указывает Лука Сафонов. Они могут вовсе отказаться от денег, лишь бы избежать деанонимизации. Тем не менее, замечает эксперт,

внедрение действенного правового механизма – той же оплаты труда анонимной криптовалютой – смогло бы привлечь на подобные работы больше специалистов

Алексей Лукацкий обращает внимание на ответственность за нанесение ущерба в процессе оценки защищенности.

Алексей Лукацкий, Positive Technologies:

– Не секрет, что поиск уязвимостей может быть инвазивным, это может привести к нарушению работоспособности государственной информсистемы или даже значимого объекта КИИ. Будет ли белый хакер нести за это ответственность и не привлекут ли его по статье 274.1 УК РФ?

Такие опасения возникают у багхантеров, и

организаторам государственной площадки Bug Bounty придется отвечать на этот вопрос до приглашения всех желающих проверить на прочность IT-системы госорганизаций и объектов КИИ

На платформах должны быть созданы такие условия, при которых исследователям будет удобно работать с любым клиентами, как с частными, так и с государственными компаниями, подчеркнул он.

В целом, констатировал Лука Сафонов, рынок Bug Bounty в России существует, он растет и будет увеличиваться, но сейчас очень важны инициативы со стороны государства. Нужно запускать единую национальную платформу Bug Bounty с тремя-пятью операторами, подчеркивает он.

ТРИ КИТА

Российские специалисты активно работали на глобальном рынке Bug Bounty, в том числе на крупнейшей американской площадке HackerOne, и даже участвовали в соревновании «Взломай Пентагон», а также в других программах правительственных организаций США. Но в марте нынешнего года HackerOne отказалась от услуг охотников за уязвимостями из России.

Американская площадка способна привлекать до 30–50 тыс. исследователей со всего мира. Россия в этом плане далеко позади, но необходимо наращивать темпы, отметил Лука Сафонов. По его словам,

сейчас в России насчитывается приблизительно 2,5 тыс. багхантеров, из них активными являются 500 человек, а «суперактивными» можно назвать 50-70 специалистов

При этом выплаты за найденные в информационных системах огрехи сейчас очень снизились по сравнению с уровнем расценок на HackerOne, посетовал Лука Сафонов. Если в 2021 году компания Delivery Club (входит в VK) выплачивала багхантерам до 75 тыс. долларов, то сейчас в VK максимальный публичный гонорар составляет 1,8 млн рублей, рассказал эксперт.

В настоящее время в РФ функционируют три площадки для белых хакеров: Bugbounty.ru от компаний «Киберполигон» и «Синклит», Standoff 365 Bug Bounty, созданная Positive Technologies, и BI.ZONE Bug Bounty от BI.ZONE.

Лука Сафонов, «Синклит»:

– Наша площадка Bugbounty.ru существует с февраля 2021 года. Ее клиентами являются, например, «Сбермаркет» и «Тинькофф Банк». Клиенты видят, что можно разместиться одновременно на нескольких платформах, и выбирают по удобству, уровню комиссии и составу багхантеров.

Директор по стратегии BI.ZONE Евгений Волошин в беседе с RSpectr отметил, что платформа BI.ZONE Bug Bounty – это хаб между компаниями и независимыми исследователями.

Евгений Волошин, BI.ZONE:

– Он позволяет компаниям запускать публичное или приватное тестирование с оптимальными условиями и размерами вознаграждений, привлекать экспертов с разными подходами, а также снять с себя рутину верификации полученной информации об уязвимостях.

Евгений Волошин подчеркнул, что багхантеры могут рассчитывать на полную безопасность работы на платформе, если они будут использовать программу Bug Bounty по указанному объему работ и действовать в рамках прописанных условий тестирования.

Российский рынок тестирования на проникновение в 2022 году оценивается в 500 млн рублей, в 2021 году – в 300 млн рублей. В 2023 году он увеличится на 50% до 750 млн рублей

Таким прогнозом с RSpectr поделился аналитик ФГ «Финам» Леонид Делицын.

Впрочем, отмечают участники рынка, эти цифры могут быть гораздо большими.

Тимур Халудоров