Время «белых хакеров»
В России появятся площадки для найма кибервзломщиков
Positive Technologies и «Ростелеком» создают маркетплейсы, где компании смогут заказать кибератаку для проверки своей информационной защиты. Специалистов по IT-уязвимостям на отечественном рынке достаточно, но не все организации готовы оголять перед ними свои слабые стороны. RSpectr выяснял у участников рынка информбезопасности перспективы легального кибершпионажа в России.
НА СТАРТЕ
Positive Technologies запустит в мае 2022 года онлайн-площадку поиска уязвимостей сторонними IT-специалистами. Это будет аналог международной платформы HackerOne, рассказали RSpectr в пресс-службе компании. Сервис станет посредником между компаниями, которые хотят проверить безопасность своих систем, и хакерами, работающими за гонорары. Пока же добросовестные кибервзломщики в большинстве случаев ищут задания на международных площадках.
В сентябре о создании подобной платформы на базе «Ростелекома» заявлял вице-президент, директор департамента информационной безопасности банка «Тинькофф» Дмитрий Гадарь, сообщал ТАСС.
О создании аналогичной платформы рассказали RSpectr в пресс-службе «Ростелекома». Там отметили, что сейчас компания ведет переговоры о ее запуске на базе Национального киберполигона. Он создается компанией по поручению Минцифры в рамках программы «Цифровая экономика». Платформа будет представлять собой огромную инфраструктуру, состоящую из отраслевых сегментов. «Ростелеком» видит в этом широкие возможности для проведения киберучений, поиска уязвимостей и проверки защищенности ПО и аппаратных решений.
В компании сообщили, что
На киберполигоне можно создавать цифровые двойники крупных информационных систем или целых организаций, а затем проверять их уровень безопасности
В июне была запущена программа по поиску уязвимостей (bug bounty), первым участником которой стала компания «Код безопасности».
«Ростелеком», пресс-служба:
– Участие в таких программах – очень полезная практика, которая позволяет своевременно выявить слабые места в защите и существенно повысить уровень безопасности. Российский аналог HackerOne позволит создать единую точку взаимодействия двух заинтересованных сторон. Также будет способствовать тому, чтобы практика проведения bug bounty получила более широкое распространение и единые высокие стандарты юридического и технического сопровождения.
Руководитель отдела анализа защищенности веб-приложений Positive Technologies Ярослав Бабин рассказал RSpectr, что их компания уже не первый год реализует программу выплаты вознаграждений за обнаруженные уязвимости у компаний. Но она проводится в рамках форума Positive Hack Days или конференции The Standoff. Разработка маркетплейса – логичный шаг. «Самая важная часть платформы – этичные хакеры. Без них вся идея будет напрасной, поскольку мы с 2011 года проводим форумы безопасности, то нас знают тысячи исследователей уязвимостей. Это должно помочь в формировании сообщества», – говорит эксперт.
Ярослав Бабин, Positive Technologies:
– Проект подразумевает как традиционную форму поиска уязвимостей, так и в новую. Во втором случае для каждой бизнес-системы будет сформирован реестр недопустимых для нее событий, а вознаграждение будет выплачиваться не за обнаруженную уязвимость, а за реализацию того ущерба, который компания считает для себя неприемлемым.
ВЫЙТИ ИЗ СУМРАКА
На данный момент в РФ подобные системы отсутствуют. По словам эксперта, многие российские компании боятся, что западные хакеры их взломают, поэтому опасаются выходить на площадку HackerOne.
Поэтому у каждого «белого хакера» на отечественной платформе будет своя страница, как в LinkedIn. Таким образом, компании увидят, кто их взламывает, а у «киберпреступников» будет пополняться портфолио, объяснил Я.Бабин.
В своем профиле хакер сможет отображать активность: число найденных уязвимостей, закрытых рисков, полученные сертификаты и место работы
Такой опыт IT-специалиста в профиле позволит ему хорошо трудоустроиться в будущем.
Начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд сообщил RSpectr, что с технической точки зрения потребность в этой платформе у российских сервисов есть.
Алексей Дрозд, «СёрчИнформ»
– В нынешней ситуации пентесты (проверка на проникновение и безопасность) и аналогичные программы стали еще актуальнее. Ведь разработчики торопятся с релизом своих продуктов, и принцип security by design реализуют единицы. Другое дело, что запрос на такую услугу в России пока не сформировался. Участникам будущего сервиса нужно «созреть», и это не только вопрос денег.
По словам эксперта, некоторые инициативные российские компании, например VK (Mail.Ru Group) и Avito, уже активно пользуются зарубежными платформами, тем же HackerOne. Они хорошо понимают, сколько стоит простой их сервисов, потому готовы платить «белым хакерам», отметил А.Дрозд. Но в целом у российских компаний есть предрассудки о том, что подобные проверки навредят их репутации, отметил эксперт.
Алексей Дрозд, «СёрчИнформ»
– На Западе отчетливо оформилась проблема дискредитации программ на поиск «слабого звена». Изначально предполагалось, что хакер находил уязвимость, а заказчик ее исправлял. Потом же многие компании додумались покупать молчание исследователей. Хакер получает вознаграждение за работу, подписывает NDA (соглашение о неразглашении) – и дальше компания может сколь угодно тянуть с устранением уязвимости.
По словам А.Дрозда, для развития нового рынка услуг нужны понятные правила игры, чтобы заказчики могли доверять исполнителям и наоборот, но пока с этим проблемы. Отсутствие культуры информбезопасности, как и требования регуляторов не стимулируют конкуренцию. Цены формирует рынок, которого пока нет в России, говорит он.
Эксперт считает, что
стоимость предоставляемых услуг будет рыночной, так как поиск уязвимостей – глобальное явление
Поэтому, если искусственно не ограничивать вход (например, искать уязвимость смогут только граждане РФ), цену вряд ли получится сбить.
Директор по продуктовой стратегии Группы Т1 Сергей Иванов в разговоре с RSpectr отметил, что спрос на такие услуги высокий.
Сергей Иванов, Группа Т1:
– Этот тренд развивается в финансовом секторе РФ уже более 10-15 лет. Практически во всех странах мира есть аналогичная практика.
ЗАРУБЕЖНЫЕ БАРЬЕРЫ
При противодействии злоумышленникам любой компании приходится работать исключительно в рамках национального законодательства и права. По словам С.Иванова, это существенно сужает выбор инструментов и методов противодействия.
«Например, невозможна передача информации между компаниями из разных стран, в которых содержатся данные о российских гражданах. Юрисдикции стран ограничивают такой обмен и сбор. В этом преимущество транснациональных киберпреступников, которые используют инфраструктуру, шлюзы и IP-адреса других стран, многократно шифруя и запутывая следы», – сообщил С.Иванов.
Экс-хакер, основатель YouTube-канала о хакинге «Люди PRO» Сергей Павлович в беседе с RSpectr сообщил, что он не видит смысла в создании еще одного маркетплейса услуг, поскольку все топовые и даже средние киберпреступники уже пользуются HackerOne.
Сергей Павлович, экс-хакер:
– Основной вопрос в том, кто придет на эту площадку, потому что Microsoft и HP вряд ли будут публиковать задания на платформе, созданной русскими. С другой стороны, проект не требует серьезных затрат. А для хакеров, конечно, чем больше мест для поиска работы – тем лучше.
В то же время для Positive Technologies выгоды пока неочевидны, особенно с учетом санкций в отношении русских компаний со стороны США, которые и дальше будут продолжаться и усиливаться, отметил экс-хакер.
Об успешности проекта говорить пока рано из-за отсутствия деталей, считает директор Центра информбезопасности компании «ЛАНИТ-Интеграция» Николай Фокин. Он сообщил RSpectr, что многое будет зависеть от того, как реализована верификация выявленных уязвимостей и оплата за них.
Николай Фокин, «ЛАНИТ-Интеграция»:
– Необходимо сделать платформу доверенной. Но если механизм будет менее прозрачен, чем у HackerOne, то успешность проекта может быть под вопросом.
По мнению эксперта, при создании платформы многое будет зависеть от удобства интерфейса. Возможно, это позволит участвовать компаниям, которые боятся раскрытия информации на зарубежных площадках, предполагает эксперт. Н.Фокин добавил, что к основным барьерами на новом рынке относятся – отсутствие комплексных программ обучения и незрелость многих российских организаций.
Изображение: Freepik.com
ЕЩЕ ПО ТЕМЕ:
